Sns FR SMC Guide - D - Administration v2.0

STORMSHIELD MANAGEMENT
CENTER
GUIDE D'ADMINISTRATION
Date Version Détails

Novembre 2016 V 2.0 Mise à jour
Référence : sns-fr-SMC-guide_d_administration-v2.0
SMC - GUIDE D'ADMINISTRATION 2.0
Table des matières

1. Prise en main 5
1.1 Se connecter à l'interface web du serveur SMC 5
1.2 Se connecter à l'interface de ligne de commande 5
1.3 Installer la licence SMC 5
1.3.1 Résoudre les problèmes 5
2. Avertissement avant de rattacher des firewalls SN au serveur SMC 7
3. Rattacher des firewalls SN au serveur SMC 8
3.1 Rattacher un firewall en configuration d'usine au serveur SMC 8
3.1.1 Déclarer le firewall dans l'interface web du serveur SMC 8
3.1.2 Générer le package de rattachement du firewall 8
3.1.3 Installer le package de rattachement sur le firewall à partir d'une clé USB 9
3.1.4 Installer le package de rattachement sur le firewall à partir de l'assistant d'installation 10
3.2 Rattacher un firewall déjà en production au serveur SMC 11
3.2.1 Déclarer le firewall dans l'interface web du serveur SMC 11
3.2.2 Générer le package de rattachement du firewall 11
3.2.3 Installer le package de rattachement sur le firewall 12
3.3 Rattacher un cluster haute disponibilité au serveur SMC 12
3.3.1 Déclarer le cluster dans l'interface web du serveur SMC 12
3.3.2 Générer le package de rattachement du cluster 13
3.3.3 Installer le package de rattachement sur le nœud actif du cluster 13
3.4 Consulter les traces du serveur en cas de problème 14
3.4.1 Génération du package de rattachement d'un firewall 14
3.4.2 Installation du package de rattachement sur le firewall SN 14
3.5 Importer des firewalls SN depuis un fichier CSV 14
3.5.1 Créer le fichier CSV 14
3.5.2 Importer les firewalls 15
4. Superviser les firewalls SN 17
4.1 Superviser et classer les firewalls 17
4.1.1 Obtenir des informations sur les firewalls 17
4.1.2 Classer les firewalls par dossiers 18
4.1.3 Vérifier l'utilisation d'un firewall dans la configuration 19
4.2 Accéder aux traces et rapports d'activité des firewalls 19
5. Configurer les firewalls SN 20
5.1 Modifier les firewalls 20
5.2 Gérer les objets 20
5.2.1 Déployer les objets sur les firewalls SN 21
5.2.2 Créer des objets variables 21
5.2.3 Vérifier l'utilisation d'un objet dans la configuration 22
5.2.4 Importer des objets depuis un fichier CSV 22
5.3 Déployer une configuration sur des firewalls 23
5.3.1 Déployer une configuration sur un firewall 24
5.3.2 Déployer une configuration sur un cluster haute disponibilité 24
5.3.3 Consulter les traces du serveur en cas de problème 25
5.4 Charger et déployer une ancienne configuration 25
5.5 Accéder à l'interface web d'administration des firewalls 25
5.6 Utiliser le mode Urgence 26
5.7 Convertir un firewall connecté au serveur SMC en cluster haute disponibilité 26
Page 2/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

5.8 Importer un certificat pour un firewall SN 26

5.8.1 Importer un certificat depuis l'interface web du serveur 26
5.8.2 Importer un certificat depuis l'interface de ligne de commande 27
5.8.3 Importer un certificat sur un cluster haute disponibilité 27
5.8.4 Résoudre les problèmes 28
6. Créer et superviser des tunnels VPN 29
6.1 Configurer une topologie en maillage 29
6.1.1 Importer les certificats pour les firewalls SN 30
6.1.2 Déclarer l'autorité de certification 30
6.1.3 Créer les objets pour les sous-réseaux 31
6.1.4 Créer la topologie VPN 31
6.2 Configurer une topologie en étoile 32
6.2.1 Créer les objets pour les sous-réseaux 32
6.2.2 Créer la topologie VPN 33
6.3 Modifier et supprimer une topologie VPN 33
6.4 Superviser l'état des tunnels VPN 34
7. Créer et organiser des règles de filtrage et translation 35
7.1 Comprendre l'ordre de lecture des règles 35
7.2 Créer des règles de filtrage et de translation 36
7.3 Exemples de cas d'usage 36
7.3.1 Gérer un parc sans partage de règles 36
7.3.2 Gérer un parc avec des règles partagées et des règles spécifiques 37
7.3.3 Gérer un parc multi-sites avec des règles partagées et spécifiques et délégation de filtrage37
7.4 Gérer la migration d'un parc de firewalls en production dans SMC 39
7.5 Créer une règle de translation pour les flux sortants pour tous les firewalls gérés par SMC39
8. Exécuter des commandes CLI SNS sur un parc de firewalls 40
8.1 Créer le script de commandes CLI 40
8.2 Utiliser des variables 41
8.2.1 Utiliser les variables spécifiques aux firewalls 41
8.2.2 Utiliser les variables globales 41
8.2.3 Utiliser un fichier CSV 41
8.3 Exécuter le script CLI SNS depuis l'interface web 42
8.4 Exécuter le script CLI SNS en ligne de commande 42
8.5 Exécuter le script CLI SNS sur un cluster haute disponibilité 44
8.6 Joindre des fichiers à un script et réceptionner des fichiers générés par script 45
8.6.1 Arguments de commande à utiliser dans le script 45
8.6.2 Joindre un fichier à un script 46
8.6.3 Réceptionner un fichier généré par script 46
8.7 Résoudre les problèmes 47
8.7.1 Le fichier de script est trop volumineux 47
8.7.2 Certains caractères ne sont pas pris en compte dans le script 47
8.7.3 L'exécution du script échoue sur certains firewalls 47
8.7.4 Le bouton Exécuter le script reste grisé 48
9. Supprimer des firewalls SN du serveur SMC 49
10. Gérer et maintenir le serveur SMC 50
10.1 Vérifier la version du serveur SMC en ligne de commande 50
10.2 Modifier le fuseau horaire et la date du serveur SMC 50
10.2.1 Modifier le fuseau horaire 50

10.2.2 Modifier la date manuellement 50

10.2.3 Modifier la date via le protocole NTP 50
10.2.4 Afficher un résumé complet des paramètres date/heure du serveur SMC 51
10.3 Gérer les administrateurs 51
10.3.1 Gérer les administrateurs en étant connecté avec le compte "admin" 51
10.3.2 Gérer les administrateurs en étant connecté avec un compte autre que "admin" 51
10.4 Consulter et enregistrer les traces du serveur SMC 51
10.4.1 Consulter les traces server.log depuis l'interface web 52
10.4.2 Enregistrer les traces du serveur 52
10.5 Sauvegarder et restaurer la configuration du serveur SMC 52
10.5.1 Sauvegarder la configuration du serveur depuis l'interface web 52
10.5.2 Sauvegarder la configuration du serveur en ligne de commande 53
10.5.3 Restaurer la configuration du serveur depuis l'interface web 53
10.5.4 Restaurer la configuration du serveur en ligne de commande 54
10.5.5 Restaurer la configuration du serveur depuis l'assistant d'initialisation 54
10.6 Mettre à jour le serveur SMC depuis l'interface de ligne de commande 55
10.7 Réinitialiser les mots de passe "root" et administrateurs 55
10.7.1 Réinitialiser le mot de passe de l'utilisateur "root" 56
10.7.2 Réinitialiser le mot de passe des administrateurs 56
10.8 Désactiver la synchronisation automatique d'un cluster haute disponibilité 57
Annexe A. Exemples d'utilisation de scripts CLI SNS 58
A.1 Sauvegarde de la configuration des firewalls 58
A.2 Mise à jour des firewalls 59

1. PRISE EN MAIN
1. Prise en main
Dans la documentation, Stormshield Management Center est désigné sous la forme abrégée :
SMC.
Pour administrer ou maintenir le serveur SMC, vous pouvez vous connecter à l’interface web via
un navigateur web ou bien directement en ligne de commande.
En cas de perte de mot de passe, reportez-vous à la section Réinitialiser les mots de passe "root"
et administrateurs.
1.1 Se connecter à l'interface web du serveur SMC

1. Connectez-vous à l'adresse IP du serveur SMC précédée de https:// depuis votre navigateur
web.
2. Renseignez votre nom d’utilisateur et mot de passe ou utilisez le nom d’utilisateur et mot de
passe admin par défaut.
1.2 Se connecter à l'interface de ligne de commande

Connectez-vous au serveur SMC en ligne de commande afin de réaliser des opérations de
maintenance ou avancées sur le serveur. Vous pouvez vous connecter :
l en console depuis votre hyperviseur VMware.
l en SSH sur le port 22.
Dans les deux cas, connectez-vous avec l'utilisateur "root" et le mot de passe définis lors de
l'initialisation du serveur. Pour plus d'informations, reportez- vous au Guide d'installation
Stormshield Management Center.
1.3 Installer la licence SMC

Votre licence détermine le nombre maximum de firewalls pouvant se connecter simultanément au
serveur SMC.
Pour installer la licence :
1. Allez dans Serveur SMC > Licence.
2. Sélectionnez le fichier de licence. Si une licence est déjà installée, ses informations sont
affichées.
3. Cliquez sur Appliquer.
1.3.1 Résoudre les problèmes
Le serveur SMC refuse toute nouvelle connexion de firewall

l Situation : Le serveur SMC refuse toute nouvelle connexion de firewall mais il conserve les
connexions en cours.
l Cause : Vous ne possédez pas de licence ou celle-ci est expirée ; ou bien vous avez atteint le
nombre maximum de firewalls pouvant se connecter au serveur d'après votre licence.
l Solution : Consultez les logs du serveur puis contactez votre centre de support Stormshield
pour l'obtention d'une licence valide.

1. PRISE EN MAIN
Votre licence n'est plus valide après une restauration de sauvegarde de configuration
l Situation : Vous avez effectué une restauration de configuration du serveur SMC et votre
licence n'est plus valide.
l Cause : Lors d'une restauration de configuration, la licence qui était installée au moment de la
sauvegarde est restaurée. Donc, si celle-ci a expiré entre temps, vous ne possédez plus de
licence valide.
l Solution : Une fois la restauration de configuration effectuée, installez de nouveau votre
licence la plus récente.

2. AVERTISSEMENT AVANT DE RATTACHER DES FIREWALLS SN AU SERVEUR SMC
2. Avertissement avant de rattacher des firewalls

SN au serveur SMC
Veuillez prendre connaissance de ces informations si vous souhaitez rattacher au serveur SMC
un parc de firewalls SN déjà en production et qui contient des éléments de configuration globaux.
Lorsque SMC déploie une configuration sur un firewall, tous les éléments de configuration
globaux existant sur ce firewall sont supprimés, et remplacés par les éventuels éléments de
configuration définis dans la configuration SMC.
Ceci comprend :
l les objets globaux définis sur le firewall
l les règles de filtrage globales définies sur le firewall
l les tunnels VPN globaux définis sur le firewall
Ces éléments ne sont pas visibles par défaut dans l’interface web de configuration SNS. Pour les
afficher, vous devez aller dans les Préférences de votre firewall, section Paramètres de
l'application et activer l'option Afficher les politiques globales (Filtrage, NAT, IPsec et Objets).
En rattachant un firewall SN à SMC, vous acceptez donc que ces éléments globaux que vous
auriez pu mettre en place sur ce firewall soient écrasés dès le premier déploiement de
configuration par SMC.
En revanche les objets, règles et tunnels VPN locaux (que vous manipulez par défaut dans
l’interface Web d'administration des firewalls) ne seront jamais modifiés ou supprimés par un
déploiement de configuration par SMC.
Nous vous préconisons donc de recréer ces éléments globaux sous forme d'éléments locaux sur
le firewall ou bien de récrire les règles dans SMC avant de rattacher le firewall à SMC, pour éviter
toute perte d’éléments de configuration et ne pas perturber la production.
Dans les cas les plus fréquents, où le firewall à rattacher ne dispose pas d’éléments de
configuration globaux, le rattachement du firewall à SMC ne nécessite pas de précaution
particulière et se fera sans impact sur la production.
Dans tous les cas, nous préconisons de réaliser une sauvegarde de la configuration de votre
firewall avant de le rattacher à SMC.

3. RATTACHER DES FIREWALLS SN AU SERVEUR SMC
3. Rattacher des firewalls SN au serveur SMC

Le rattachement du firewall SN au serveur SMC vous permet d'administrer le firewall depuis
l'interface web du serveur SMC. Un package de rattachement généré par le serveur SMC doit être
installé sur le firewall SN.
SMC 2.0 est compatible avec la version 2.3.0 minimum de Stormshield Network Security.
Certaines fonctionnalités comme les règles de filtrage et de translation et les tunnels VPN
requièrent la version 3.0 de SNS.
3.1 Rattacher un firewall en configuration d'usine au serveur SMC
3.1.1 Déclarer le firewall dans l'interface web du serveur SMC

1. Dans l'interface web du serveur SMC, sélectionnez Supervision > Firewalls et cliquez sur Créer
un firewall.
2. Complétez les propriétés du firewall. Les champs Nom du firewall, Description et Lieu sont
remplis à titre informatif et n'ont aucune incidence sur la configuration.
3. Choisissez le dossier dans lequel classer le firewall. Les dossiers sont créés dans le menu de
gauche Configuration > Firewalls et dossiers. Pour plus d'informations, reportez-vous à la
section Superviser et classer les firewalls .
3.1.2 Générer le package de rattachement du firewall

1. Dans la même fenêtre, cochez Générer le package de rattachement afin de générer le package
de rattachement au serveur simultanément. Ce package de rattachement devra être installé
sur le firewall afin de se connecter au serveur SMC.
ASTUCE
Vous pourrez générer le package plus tard en modifiant le firewall dans le menu
Firewalls.
2. Cliquez sur Créer.

3. Dans le panneau Génération du package de rattachement, sélectionnez Ce firewall possède

encore sa configuration d'usine.
4. Sur le panneau suivant, choisissez la version du firewall et renseignez les informations sur la
configuration réseau minimale du firewall permettant d'accéder au serveur SMC.
5. Vérifiez et modifiez le cas échéant les informations pour la connexion au serveur SMC :
l Adresse IP ou FQDN du serveur SMC à contacter : le firewall se connecte à cette adresse
pour joindre le serveur SMC. En fonction de la topologie de réseau, celle-ci sera soit
l'adresse IP du serveur SMC soit une adresse IP externe joignable par le firewall et redirigée
vers le serveur SMC par le biais d'une translation du destination.
l Port du serveur SMC à contacter : le firewall se connecte à ce port pour joindre le serveur
SMC. En fonction de la topologie de réseau, celui-ci sera soit le port du serveur SMC (1754
par défaut) soit un port externe joignable par le firewall et redirigé vers le port du serveur
SMC par le biais d'une translation du destination.
6. Cliquez sur Générer et télécharger.
7. Pour installer le package de rattachement sur le firewall, sélectionnez l'une des deux
procédures ci-dessous.
3.1.3 Installer le package de rattachement sur le firewall à partir d'une clé USB
1. Fournissez le package à l'administrateur responsable du déploiement du nouveau firewall sur
le site distant.
2. L'administrateur doit copier le package de rattachement (.pack) et un fichier de mise à jour
SNS (.maj) sur une clé USB vierge. Le format de la clé doit être FAT32, FAT16 ou UFS. La
version 2.3.0 minimum de SNS est requise.
3. L'administrateur doit brancher la clé USB sur le nouveau firewall et connecter l'interface OUT
au réseau.
4. L'administrateur doit démarrer le firewall. Le firewall installe d'abord le fichier de mise à jour de
SNS et redémarre. Après le démarrage, le firewall installe le package de rattachement : les
adresses IP du serveur SMC et de l'interface OUT du firewall sont configurées et le firewall se
connecte au serveur SMC.

5. Dans l'interface web du serveur SMC, vérifiez que l'état du firewall change dans le menu
Firewalls. Il doit apparaître "En ligne".
6. Pour assurer la sécurité de votre équipement, connectez- vous directement à l'interface

d'administration du firewall en cliquant sur l'icône et changez le mot de passe
d'administration du firewall. Pour plus d'informations sur l'accès direct à l'interface du firewall,
reportez-vous à la section Accéder à l'interface web d'administration des firewalls.
ASTUCE
L'administrateur peut visualiser les paramètres de connexion au serveur SMC sur l'interface
web d'administration du firewall : dans le composant de tableau de bord SMC et dans le
menu Configuration > Système > Management Center. Il peut également installer un
nouveau package de rattachement de l'interface web d'administration.
3.1.4 Installer le package de rattachement sur le firewall à partir de l'assistant

d'installation
1. Fournissez le package à l'administrateur responsable du déploiement du nouveau firewall sur
le site distant.
2. Celui-ci doit installer le package depuis l'assistant d'installation du firewall.
4. Pour assurer la sécurité de votre équipement, connectez- vous directement à l'interface

d'administration du firewall en cliquant sur l'icône et changez le mot de passe
d'administration du firewall. Pour plus d'informations sur l'accès direct à l'interface du firewall,
reportez-vous à la section Accéder à l'interface web d'administration des firewalls.

ASTUCE
L'administrateur peut visualiser les paramètres de connexion au serveur SMC sur l'interface
web d'administration du firewall : dans le composant de tableau de bord SMC et dans le
menu Configuration > Système > Management Center. Il peut également installer un
nouveau package de rattachement de l'interface web d'administration.
3.2 Rattacher un firewall déjà en production au serveur SMC
3.2.1 Déclarer le firewall dans l'interface web du serveur SMC

un firewall.
2. Complétez les propriétés du firewall. Les champs Nom du firewall, Description et Lieu sont
3. Choisissez le dossier dans lequel classer le firewall. Les dossiers sont créés dans le menu de
3.2.2 Générer le package de rattachement du firewall

ASTUCE
Firewalls.
3. Dans le panneau Génération du package de rattachement, sélectionnez Ce firewall est déjà en
production.

4. Sur le panneau suivant, choisissez la version du firewall et vérifiez et modifiez le cas échéant
les informations pour la connexion au serveur SMC :
3.2.3 Installer le package de rattachement sur le firewall

1. Fournissez le package à l'administrateur en charge du firewall sur le site distant.
2. L'administrateur doit se connecter à l'interface web du firewall.
3. Dans le menu Configuration > Système > Management Center de l'interface d'administration
du firewall, l'administrateur doit sélectionner le package de rattachement. Après l'installation
du package, l'administrateur peut visualiser les paramètres de connexion au serveur SMC
dans le même menu. Le composant de tableau de bord SMC rappelle également ces
informations.
3.3 Rattacher un cluster haute disponibilité au serveur SMC
3.3.1 Déclarer le cluster dans l'interface web du serveur SMC

un firewall. Ce nouveau firewall représente le cluster, il n'est pas nécessaire de déclarer les
deux nœuds du cluster.
2. Complétez les propriétés du cluster. Les champs Nom du firewall, Description et Lieu sont
3. Choisissez le dossier dans lequel classer le cluster. Les dossiers sont créés dans le menu de

3.3.2 Générer le package de rattachement du cluster

ASTUCE
Firewalls.
3. Dans le panneau Génération du package de rattachement, sélectionnez Ce firewall est déjà en
production.
4. Sur le panneau suivant, choisissez la version du firewall et vérifiez et modifiez le cas échéant
les informations pour la connexion au serveur SMC :
3.3.3 Installer le package de rattachement sur le nœud actif du cluster

1. Fournissez le package à l'administrateur en charge du cluster sur le site distant.
2. L'administrateur doit se connecter à l'interface d'administration du nœud actif du cluster.

3. Dans le menu Configuration > Système > Management Center de l'interface d'administration
du firewall, l'administrateur doit sélectionner le package de rattachement. Après l'installation
du package, l'administrateur peut visualiser les paramètres de connexion au serveur SMC
dans le même menu. Le composant de tableau de bord SMC rappelle également ces
informations.
4. L'administrateur doit alors réaliser une synchronisation des deux nœuds depuis l'interface
d'administration du nœud actif. Le nœud passif récupère alors la configuration contenue
dans le package de rattachement du firewall.
5. Dans l'interface web du serveur SMC, vérifiez que l'état du cluster change dans le menu
Firewalls. Il doit apparaître "En ligne". L'icône Mode change également : .
En cas de bascule, le nœud passif devient actif et se connecte automatiquement au serveur
SMC.
6. Pour visualiser les différentes informations sur les deux nœuds du cluster, double-cliquez
sur la ligne du cluster dans le menu Firewalls et ouvrez l'onglet Haute disponibilité.
Le serveur SMC opère une synchronisation régulière des deux nœuds des clusters haute
disponibilité de firewalls SN qu'il administre. Pour désactiver cette synchronisation automatique,
reportez- vous à la section Désactiver la synchronisation automatique d'un cluster haute
disponibilité.
3.4 Consulter les traces du serveur en cas de problème

Si vous rencontrez des problèmes lors du rattachement d'un firewall SN au serveur SMC,
commencez par consulter les fichiers de traces suivants.
3.4.1 Génération du package de rattachement d'un firewall

Consultez les traces sur le serveur SMC, dans /var/log/fwadmin-server/server.log
3.4.2 Installation du package de rattachement sur le firewall SN

Consultez les traces sur le firewall SN, dans /log/l_ system (et /log/verbose.cad si le mode
verbose est activé).
3.5 Importer des firewalls SN depuis un fichier CSV

Pour importer rapidement un grand nombre de firewalls dans SMC et générer leur package de
rattachement, vous pouvez utiliser un fichier CSV et l'importer sur le serveur depuis l'interface de
ligne de commande.
Un exemple de fichier CSV "example-firewalls-and-packages.csv" est disponible sur le serveur,
dans le dossier /var/fwadmin/examples/csv.
3.5.1 Créer le fichier CSV

Le fichier peut contenir les paramètres suivants organisés en colonnes, séparés par des virgules.
Seule la première colonne #fwname est obligatoire :
l #fwname : le nom du firewall.
l #fwversion : la version du firewall utilisée pour déterminer la version du package de
rattachement généré. Si ce champ n'est pas renseigné, c'est la version 3.0.0 qui est utilisée.

l #fwdesc : la description du firewall.

l #fwplace : le lieu du firewall.
l #smc-address : l'adresse IP du serveur SMC, cette information est nécessaire pour le package
de rattachement.
l #smc-port : le port du serveur SMC, cette information est nécessaire pour le package de
rattachement.
L'ordre des paramètres doit toujours être le même.
3.5.2 Importer les firewalls

1. Commencez par copier le fichier CSV sur le serveur SMC à l'aide du protocole SSH, dans le
répertoire /tmp par exemple.
2. Connectez-vous au serveur SMC via le port console ou en SSH avec le compte "root".
3. Tapez la commande :
fwadmin-firewalls-and-packages --csv-file /tmp/nomfichier.csv.
Les packages de rattachement générés sont disponibles dans le répertoire /tmp/packages.
Un statut d'import s'affiche pour chaque firewall, ainsi qu'un résumé à la fin de l'exécution de
l'import.

Vous avez également la possibilité :

l d'importer les firewalls sans générer les packages de rattachement, en utilisant l'option --
firewall-only :
fwadmin-firewalls-and-packages --csv-file /tmp/nomfichier.csv --firewall-only
l de générer uniquement les packages de rattachement, en utilisant l'option --package-
only :
fwadmin-firewalls-and-packages --csv-file /tmp/nomfichier.csv --package-only
Si un firewall importé existait déjà dans SMC, une erreur s'affiche. Vous pouvez utiliser l'option --
force-update pour écraser le firewall existant par celui indiqué dans le fichier CSV.

4. SUPERVISER LES FIREWALLS SN
4. Superviser les firewalls SN

Les différentes informations à propos de chaque firewall affichées dans Supervision > Firewalls
permettent de visualiser et superviser les firewalls. Un accès direct aux traces et rapports
d'activité d'un firewall est également possible.
4.1 Superviser et classer les firewalls

Consultez en temps réel l'état de votre parc et classez vos firewalls selon une hiérarchie de
dossiers et sous- dossiers sur lesquels s'appliquent des règles de filtrage et de translation
partagées ou spécifiques.
4.1.1 Obtenir des informations sur les firewalls

Depuis le menu Supervision > Firewalls, visualisez des informations diverses sur chaque firewall
telles que l'état de la connexion, l'adresse IP, le modèle, le numéro de déploiement, la date de fin
de maintenance, etc. Vous pouvez également modifier la configuration, accéder à l'interface web
d'administration et aux traces et rapports d'activité d'un firewall, installer un certificat sur un
firewall, vérifier l’utilisation d'un firewall et supprimer un firewall de la liste.
Trois icônes différentes indiquent l'état de la connexion des firewalls dans la première colonne de
la liste.
l : le firewall est connecté
l : le firewall a été déconnecté

l : le firewall n'a jamais été connecté
Le nombre de firewalls et les états de connexion sont rappelés sous la liste des firewalls :
.
ASTUCE
Cliquez sur les icônes pour filtrer la liste de firewalls.
Pour chaque firewall connecté, l'information sur le CPU, la mémoire utilisée et l'espace disque
utilisé sont disponibles. Les valeurs affichées sur le CPU et la mémoire concernent la dernière
heure écoulée. Survolez les schémas pour afficher plus de détails.
Résoudre les problèmes

Un firewall n'affiche pas de date de fin de maintenance valide
l Situation : Dans la vue de supervision, la colonne indiquant la date de fin de maintenance
d'un firewall est vide.

l Cause : Soit la licence du firewall n'est pas valide, soit sa version est inférieure à la version
2.5. Le serveur SMC ne gère pas la date de fin de maintenance des firewalls en versions 2.3 et
2.4.
l Solution : Contactez votre centre de support Stormshield pour l'obtention d'une licence valide
ou bien mettez à jour le firewall en version 2.5 ou supérieure.

4.1.2 Classer les firewalls par dossiers

Pour gérer les firewalls et leur configuration, le serveur SMC se base sur des dossiers organisés
hiérarchiquement auxquels sont rattachés les firewalls.
La gestion des dossiers est dynamique, vous pouvez à tout moment créer, déplacer et supprimer
des dossiers.
Un dossier contient des firewalls ainsi que des règles de filtrage et de translation globales. Un
firewall rattaché à un sous-dossier hérite des règles configurées dans ses dossiers parents. Pour
plus d'informations sur les règles de filtrage et de translation, reportez-vous à la section Créer et
organiser des règles de filtrage et translation.
Un firewall ne peut appartenir qu'à un seul dossier à la fois.
Le dossier racine par défaut MySMC ne peut être supprimé. Vous pouvez le renommer à votre
convenance. Si vous ne créez pas d'arborescence de dossiers, tous les firewalls sont rattachés à
ce dossier racine.
L'arborescence est limitée à quatre niveaux de sous-dossiers.
ASTUCE
Le champ Rechercher dans la liste de firewalls du menu Supervision> Firewalls prend
également en compte les noms de dossier.
Créer les dossiers

1. Rendez-vous dans l'onglet Firewalls et sous-dossiers du menu Configuration > Firewalls et
dossiers.
2. Cliquez sur le bouton Créer un sous-dossier en vous positionnant au préalable dans le
dossier parent souhaité.
Classer les firewalls

Il existe plusieurs possibilités :
l lorsque vous créez un nouveau firewall depuis les menus Supervision > Firewalls ou
Configuration > Firewalls et dossiers, onglet Firewalls et sous-dossiers, vous pouvez choisir
son emplacement.
l vous pouvez déplacer un firewall existant depuis ces mêmes panneaux en cliquant sur le
bouton Déplacer 1 firewall. La sélection multiple est autorisée.

Supprimer un dossier
Dans l'onglet Firewalls et sous-dossiers du menu Configuration > Firewalls et dossiers, survolez le
nom du dossier et sélectionnez la croix rouge.
Si vous supprimez un dossier, les firewalls et règles dans ce dossier seront déplacés par défaut
dans le dossier parent.
4.1.3 Vérifier l'utilisation d'un firewall dans la configuration

Pour vérifier l'utilisation d'un firewall :
1. Allez dans le menu Supervision > Firewalls ou Configuration > Firewalls et dossiers.
2. Survolez le nom du firewall et cliquez sur l'icône . Le panneau de résultats s'ouvre dans
la colonne de gauche. Vous pouvez double-cliquer sur un résultat.
4.2 Accéder aux traces et rapports d'activité des firewalls

A partir du serveur SMC, il est possible d'accéder directement aux traces et rapports d'activité des
firewalls connectés.
Dans Supervision > Firewalls, déplacez la souris à côté du nom du firewall et cliquez sur l'icône
.
L'authentification étant automatique sur le firewall :
l il n'est pas nécessaire de définir un identifiant sur ce firewall.
l il n'est pas nécessaire de configurer un poste d'administration autorisé dans l'interface web
d'administration du firewall.
l la déconnexion de l'interface web du serveur SMC implique automatiquement la déconnexion
de l'interface Traces et rapports d'activité du firewall.

Pour plus de renseignements sur l'interface des traces et rapports d'activité, consultez le Manuel
d'utilisation et de configuration Stormshield Network.

5. CONFIGURER LES FIREWALLS SN
5. Configurer les firewalls SN

Configurez vos firewalls, objets, règles et topologies VPN dans l'interface web du serveur SMC et
déployez la configuration sur les firewalls. Un accès direct à l'interface web d'administration d'un
firewall est également possible.
Certaines opérations de configuration ne sont pas possibles depuis l'interface web du serveur
SMC. Vous pourrez les réaliser à partir de commandes CLI SNS. Pour plus d'informations, reportez-
vous au chapitre Exécuter des commandes CLI SNS sur un parc de firewalls.
5.1 Modifier les firewalls

Pour modifier les paramètres d'un firewall :
1. Allez dans le menu Supervision > Firewalls.
2. Survolez le nom du firewall et cliquez sur l'icône crayon ou double-cliquez sur la ligne du
firewall.
La série d'onglets permet entre autres de :
l modifier l'emplacement du firewall dans l'arborescence des dossiers
l générer un package de rattachement pour le firewall. Pour plus d'informations sur ce package,
reportez-vous à Rattacher des firewalls SN au serveur SMC .

l ajouter des variables personnalisées utilisées dans les scripts CLI SNS ou dans les objets
Réseau
l ajouter un certificat sur le firewall
l obtenir des informations sur la haute disponibilité dans le cas d'un cluster
l créer et gérer des règles de filtrage et de translation.
Les champs Nom du firewall, Description et Lieu dans l'onglet Paramètres sont remplis à titre
informatif et n'ont aucune incidence sur la configuration.
ASTUCE
Le champ Rechercher dans la liste de firewalls prend également en compte les champs
Description et Lieu.
5.2 Gérer les objets

Le menu de gauche Objets Réseau permet de créer, de modifier ou de supprimer un objet de la
configuration déployée sur les firewalls SN.
Tous les objets créés à partir du serveur SMC appartiennent à la politique globale du firewall. Ils
sont disponibles dans l'interface web d'administration du firewall.
Pour plus de renseignements sur les objets globaux, consultez le Manuel d'utilisation et de
configuration Stormshield Network.

AVERTISSEMENT
Avant de supprimer un objet du serveur SMC, vérifiez l'impact que sa suppression peut
avoir sur le fonctionnement de vos firewalls SN.
5.2.1 Déployer les objets sur les firewalls SN

Par défaut, un objet n'est déployé que sur les firewalls qui l'utilisent. Vous pouvez cependant
forcer son déploiement sur certains firewalls ou sur tous les firewalls :
1. Dans la fenêtre de création ou modification d'un objet, cliquez sur Déploiement sur les
firewalls à droite.
2. Choisissez de forcer le déploiement sur une sélection de firewalls ou sur tous les firewalls.
3. Déployez la configuration.
5.2.2 Créer des objets variables

Les objets variables sont des objets de type Machine et Réseau dont l'adresse IPv4 ou IPv6
prend une valeur différente selon le firewall sur lequel ils sont installés.
Les objets variables de type Machine et Réseau peuvent être utilisés dans les règles de filtrage.
Seuls les objets variables de type Réseau peuvent être utilisés dans les topologies VPN. Dans ce
cas, la variable prend la valeur définie dans le firewall qui protège le réseau concerné.
1. Dans le menu Objets Réseau, créez un objet Machine ou Réseau.
2. Remplissez le champ Adresse IPv4 ou Adresse IPv6 avec la variable %FW_CUSTOMx%. Cette
variable personnalisée est définie dans l'onglet Variables personnalisées du panneau
Modifier le firewall accessible en double-cliquant sur la ligne d'un firewall dans la vue de
supervision. "x" représente un chiffre de 1 à 10.
l Par exemple : entrez l'adresse 10.1.%FW_CUSTOM1%.0/24. Si pour un firewall donné, le
champ personnalisé 1 dans ses paramètres vaut "1", l'adresse vaudra 10.1.1.0/24 pour
ce firewall dans la règle de filtrage ou dans la topologie VPN.
3. Terminez la création de l'objet.

5.2.3 Vérifier l'utilisation d'un objet dans la configuration

1. Dans le menu Objets Réseau, sélectionnez un objet.
2. Cliquez sur l'icône et choisissez Vérifiez l'utilisation de nomobjet.
5.2.4 Importer des objets depuis un fichier CSV

Pour importer rapidement un grand nombre d'objets existants sur les firewalls SN ou pour créer
facilement des objets, vous pouvez utiliser un fichier CSV et l'importer sur le serveur depuis
l'interface de ligne de commande.
Un exemple de fichier CSV "example-import-objects.csv" est disponible sur le serveur, dans le
dossier /var/fwadmin/examples/csv.
Créer le fichier CSV

Vous pouvez soit exporter des objets existants depuis un firewall SN soit créer un nouveau
fichier CSV.
Pour exporter le fichier CSV depuis un firewall SN :
1. Sur le firewall, allez dans le menu Objets > Objets réseau.
2. Cliquez sur le bouton Exporter.
Ce fichier contient l'ensemble des objets et groupes réseau de votre firewall SN.
Pour créer un nouveau fichier CSV, pour connaître le détail des en-têtes et des paramètres à
préciser en fonction de la catégorie de l'objet, vous pouvez :
l vous inspirer d'un export d'objets depuis votre firewall SN.
l consulter l'exemple disponible directement sur le serveur SMC comme indiqué ci-dessus.
Importer les objets

1. Commencez par copier le fichier CSV sur le serveur SMC à l'aide du protocole SSH, dans le
répertoire /tmp par exemple.
3. Pour importer tous les types d'objets, tapez la commande :
fwadmin-import-objects --csv-file /tmp/fichier.csv.
4. Pour voir les objets importés dans l'interface web de SMC, rafraîchissez la page ou
déconnectez-vous et reconnectez-vous.
Un statut d'import s'affiche pour chaque objet ou groupe, ainsi qu'un résumé à la fin de
l'exécution de l'import.

Vous avez également la possibilité de choisir les types d'objets à importer. Par exemple, pour
importer seulement les objets de type Machine et Plage d'adresses IP, entrez la commande :
fwadmin-import-objects --csv-file /tmp/fichier.csv --host --iprange
Les commandes à entrer selon le type d'objets sont :
Type de l'objet Commande
Machine --host
Nom DNS (FQDN) --fqdn
Réseau --network
Plage d'adresses IP --iprange
Groupe --group
Protocole IP --protocol
Port --port
Groupe de ports --servicegroup
Les variables personnalisées %FW_CUSTOMx% peuvent être utilisées à la place des valeurs des
adresses IPv4 ou IPv6 dans les objets de type Machine et Réseau. Ces variables personnalisées
sont définies dans l'onglet Variables personnalisées du panneau Modifier le firewall accessible
en double-cliquant sur la ligne d'un firewall dans la vue de supervision.
Si un objet importé existait déjà dans SMC, une erreur s'affiche. Vous pouvez utiliser l'option --
update pour écraser l'objet existant par celui indiqué dans le fichier CSV.
5.3 Déployer une configuration sur des firewalls

A chaque création ou modification de la configuration sur le serveur SMC, vous devez déployer la
configuration sur les firewalls SN.
Tous les déploiements sont enregistrés dans l'historique de déploiement. Reportez-vous à la
section Charger et déployer une ancienne configuration.
Lors d'un déploiement, les informations suivantes sont transmises aux firewalls :
l les objets utilisés dans les règles de filtrage ou de translation liées au firewall ou à ses
dossiers parents.
l les objets pour lesquels vous avez choisi le déploiement sur tous les firewalls ou pour
lesquels vous avez sélectionné les firewalls sur lesquels les déployer. Pour plus
d'informations, reportez-vous à la section Gérer les objets.
l si le firewall fait partie d'une topologie VPN : les objets Réseau et l'autorité de certification
associés à cette topologie, ainsi que les informations sur le certificat sélectionné pour le
firewall dans la topologie (le certificat est déjà installé sur le firewall).

5.3.1 Déployer une configuration sur un firewall

1. Allez dans le menu Déploiement > Déploiement de configuration ou cliquez sur le bouton
Réaliser un nouveau déploiement dans le bandeau supérieur de l'interface.
2. Choisissez les firewalls dans l'onglet Sélection des firewalls. La case à côté des noms des
colonnes permet de cocher / décocher tous les firewalls.
3. Renseignez un commentaire en bas du panneau si nécessaire. Ce commentaire sera affiché
dans l'historique de déploiement.
4. Cliquez sur Déployer la configuration à côté du champ de commentaire. L'onglet Déploiement
s'ouvre automatiquement. Une barre d'état indique l'avancement et le résultat du déploiement
pour chaque firewall.
Lors du déroulement d'un déploiement ou une exécution de script CLI SNS, vous ne pouvez
pas lancer un autre déploiement mais il est possible de préparer un déploiement dans l'onglet
Sélection des firewalls.
5. Un résumé du déploiement est visible en bas du panneau, affichant les réussites, erreurs et
les déploiements reportés.
6. Vous pouvez également filtrer la liste des firewalls en sélectionnant un état dans la liste
déroulante tout en haut de la liste.
En cas de déploiement réussi, le numéro de déploiement sera incrémenté dans la colonne

Déploiement.
ASTUCE
Si la configuration a été déployée sur des firewalls déconnectés, le déploiement est
reporté et les firewalls récupèrent la configuration la prochaine fois qu'ils se
connectent.
7. En cas d'erreur, reportez-vous aux traces du serveur SMC. Vous pouvez également vous
connecter aux traces et rapports d'activité d'un firewall en cliquant sur l'icône dans la
colonne Actions et consulter les traces du firewall.
5.3.2 Déployer une configuration sur un cluster haute disponibilité

Les étapes sont identiques à celles de la section précédente.

La configuration est d'abord déployée sur le nœud actif du cluster. Le serveur SMC effectue
ensuite une synchronisation des deux nœuds du cluster.
Si le nœud passif n'est pas connecté au nœud actif au moment du déploiement, le serveur SMC
effectuera une synchronisation des deux nœuds du cluster lorsque le nœud passif se
reconnectera au nœud actif.
5.3.3 Consulter les traces du serveur en cas de problème

Si vous rencontrez des problèmes lors d'un déploiement de configuration, commencez par
consulter les fichiers de traces suivants.
Côté SMC
/var/log/fwadmin-server/server.log
Côté firewalls SN
/log/l_system
5.4 Charger et déployer une ancienne configuration

Chaque configuration déployée sur les firewalls est enregistrée dans l'historique de déploiement
et peut être chargée et déployée à nouveau.
Pour visualiser l'historique de déploiement et redéployer une configuration :
1. Allez dans le menu Déploiement > Historique de déploiement.
2. Sélectionnez un déploiement et cliquez sur l'icône pour restaurer la configuration. Les
modifications en cours sur la configuration actuelle seront perdues.
3. Pour déployer une configuration sur des firewalls, répétez les étapes décrites dans la section
Déployer une configuration sur des firewalls.
4. Si vous chargez une configuration qui n'est pas la plus récente dans l'historique, un message
d'avertissement s'affiche en haut de la fenêtre. Ce message reste jusqu'à ce que vous
déployiez la configuration sur des firewalls ou chargiez la dernière configuration déployée.
5.5 Accéder à l'interface web d'administration des firewalls

L'interface web du serveur SMC ne permet pas la configuration de tous les paramètres d'un
firewall. Pour terminer la configuration, il est possible de se connecter directement à l'interface
d'administration d'un firewall sans devoir s'authentifier.
1. Allez dans le menu Supervision > Firewalls.
2. Survolez le nom d'un firewall. Le firewall doit être en ligne.
3. Cliquez sur l'icône .
L'authentification étant automatique sur le firewall :
l il n'est pas nécessaire de définir un identifiant sur ce firewall.
l il n'est pas nécessaire de configurer un poste d'administration autorisé dans l'interface web
d'administration du firewall.
l la déconnexion de l'interface web du serveur SMC implique automatiquement la déconnexion
de l'interface web d'administration du firewall.

ASTUCE
L'indication "Managed by SMC" s'affiche en rouge en haut de l'interface d'administration du
firewall.
Pour plus de renseignements sur l'interface web d'administration, consultez le Manuel
d'utilisation et de configuration Stormshield Network.
5.6 Utiliser le mode Urgence

En cas d'indisponibilité temporaire du serveur SMC, si vous devez modifier la configuration d'un
firewall, connectez-vous directement à l'adresse IP de l'interface web d'administration du firewall.
ASTUCE
L'indication "Managed by SMC - Emergency mode" s'affiche en rouge en haut de l'interface
web d'administration du firewall.
5.7 Convertir un firewall connecté au serveur SMC en cluster haute disponibilité

Un firewall autonome connecté au serveur SMC peut être converti en cluster haute disponibilité :
1. Depuis l'interface web du serveur SMC, connectez-vous à l'interface web d'administration du
firewall en cliquant sur l'icône dans la liste des firewalls du menu Supervision.
2. Reportez- vous au Manuel d'utilisation et de configuration Stormshield Network , section
Haute disponibilité, pour ajouter un nœud passif. En cas de bascule, le nœud passif devient
actif et se connecte automatiquement au serveur SMC.
ASTUCE
L'icône dans la colonne Mode est mise à jour dans la liste des firewalls sur l'interface
web du serveur SMC. Pour visualiser les détails sur les deux nœuds du cluster, double-
cliquez sur le nom du cluster dans le menu Firewalls et ouvrez l'onglet Haute disponibilité.
5.8 Importer un certificat pour un firewall SN

Un certificat au format PKCS#12 ou PEM est requis pour chaque firewall SN faisant partie d'une
topologie VPN avec authentification .X509.
Le certificat peut être installé à partir de l'interface web du serveur ou de l'interface de ligne de
commande. Vous pouvez en importer plusieurs pour un même firewall.
5.8.1 Importer un certificat depuis l'interface web du serveur

Il existe trois façons d'importer un certificat pour un firewall depuis l'interface web.
1. Dans le menu Supervision > Firewalls, double-cliquez sur un firewall SN connecté.
2. Dans l'onglet Certificats, sélectionnez le certificat selon votre cas ou cliquez sur Importer un
nouveau certificat.
ou bien
1. Dans le menu Supervision > Firewalls, survolez le nom d'un firewall connecté et cliquez sur
l'icône .
2. Dans la fenêtre qui s'ouvre, sélectionnez le certificat selon votre cas.

3. Choisissez ou non d'utiliser ce certificat comme certificat par défaut utilisé dans les topologies
VPN.
ou bien
1. Pendant la configuration d'une topologie VPN, lors de l'étape du choix des correspondants,
cliquez sur l'icône sur la ligne d'un firewall. Pour plus d'informations, reportez-vous à la
section Créer et superviser des tunnels VPN.
5.8.2 Importer un certificat depuis l'interface de ligne de commande

1. Pour importer un certificat depuis l'interface de ligne de commande, connectez-vous au
serveur SMC via le port console ou en SSH avec le compte "root".
2. Tapez la commande
fwadmin-install-certificate
ASTUCE
Affichez l'aide avec l'option --help :
Parmi ces options, trois sont obligatoires :

l --certificate : chemin du certificat (.p12 ou .pem) à installer
l --firewall : nom du firewall pour lequel le certificat doit être installé
l --password : mot de passe qui protège le certificat dans le cas d'un .p12
L'opération est enregistrée dans le fichier de log /var/log/misc/install-certificate.log.
5.8.3 Importer un certificat sur un cluster haute disponibilité

Importer le certificat pour le nœud actif du cluster.
Le serveur SMC effectue ensuite une synchronisation des deux nœuds du cluster.

5.8.4 Résoudre les problèmes
Le bouton Importer reste grisé

l Situation : Vous avez sélectionné le certificat et rentré le mot de passe et le bouton Importer
reste grisé.
l Cause : Lors du déroulement d'une exécution de script ou d'un déploiement de configuration,
vous ne pouvez pas importer un certificat pour un firewall.
l Solution : Attendez la fin de l'exécution ou du déploiement en cours.
Autres sources de problèmes possibles :

l La taille du fichier dépasse le maximum autorisé qui est de 1 Mo.
l Le format du fichier est autre que .p12 ou .pem. Le serveur SMC ne supporte que les fichiers
.p12 ou .pem.
l Vous avez entré un mauvais mot de passe.

6. CRÉER ET SUPERVISER DES TUNNELS VPN
6. Créer et superviser des tunnels VPN

Cette fonctionnalité est disponible pour des firewalls SN en version 3.0 minimum.
Stormshield Management Center permet de créer et gérer des tunnels VPN reliant des réseaux ou
sous-réseaux protégés par des firewalls. Ces firewalls ou passerelles constituent les points
d'entrée et de sortie des tunnels et peuvent être :
l des firewalls SN en version 3 ou supérieure, gérés par le serveur SMC,
l des correspondants externes, c'est-à-dire des firewalls SN ou tout autre type de passerelle
VPN, non gérés par le serveur SMC.

SMC propose deux types de topologie VPN : maillage ou étoile.
l Maillage : tous les sites distants sont capables de communiquer entre eux.
l Étoile : un site central communique avec plusieurs sites satellites. Les sites satellites ne
communiquent pas entre eux. Le site central est obligatoirement un firewall SN géré par le
serveur SMC.
Avant de configurer vos topologies, vous devez :
l avoir créé vos objets Réseau pour chacun de vos réseaux ou sous-réseaux, dans le menu
Objets réseau. Pour plus d'informations, reportez-vous à la section Gérer les objets.
l avoir créé des objets Machine pour vos correspondants externes si vos topologies en
comprennent.
l dans le cas du choix d'une authentification par certificat X509, avoir importé un certificat pour
vos firewalls SN gérés par SMC compris dans vos topologies et déclaré les autorités de
certification. Les procédures correspondantes sont décrites à la section Configurer une
topologie en maillage.
SMC 2.0 ne supporte pas les topologies VPN en IPv6. Si une topologie comprend des objets
réseau en IPv6, alors ceux-ci sont ignorés. Si une topologie s'appuie sur des objets réseau ayant
la double configuration IPv4/IPv6, alors seule la configuration en IPv4 est prise en compte et la
configuration en IPv6 est ignorée.
Dans cette section, nous décrivons deux cas d'usage, une topologie en maillage et une topologie
en étoile. Pour obtenir plus de détails sur chaque menu et option de la configuration des tunnels
VPN, consultez le Manuel d'utilisation et de configuration des firewalls SN.
6.1 Configurer une topologie en maillage

Exemple de cas d'usage :
Une société possède son siège et deux autres sites en Angleterre, ainsi qu'un site à l'étranger.
Chaque site possède son département Recherche et Développement et les quatre sous-réseaux
R&D ont besoin de partager des informations. Chaque site est protégé par un firewall SN géré par
le serveur SMC.
Le type d'authentification choisi est l'authentification par certificat X509.
L'autorité de certification qui délivre les certificats peut se trouver sur un des firewalls SN, celui du
siège par exemple, ou bien il peut s'agir d'une autorité externe.

Pour configurer les tunnels VPN entre les quatre sites, suivez les étapes suivantes.
6.1.1 Importer les certificats pour les firewalls SN

Pour importer un certificat au format PKCS#12 ou PEM depuis l'interface web du serveur SMC,
reportez-vous à la section Importer un certificat depuis l'interface web du serveur.
Les certificats peuvent également être importés depuis l'interface de ligne de commande.
Reportez-vous à la section Importer un certificat depuis l'interface de ligne de commande.
6.1.2 Déclarer l'autorité de certification

Vous devez déclarer sur le serveur SMC les autorités de certification auxquelles les firewalls SN
gérés par SMC font confiance.
Vous ne pouvez ajouter qu'une seule autorité de certification par topologie VPN, cela signifie que
tous les certificats des firewalls impliqués dans la topologie doivent être signés par la même
autorité de certification.

1. Dans le menu Configuration > Autorités de certification, cliquez sur Ajouter une autorité.
2. Sélectionnez un fichier de certificat aux formats .pem, .cer, .crt ou .der.

3. Une fois l'autorité déclarée, vous pouvez la modifier, vérifier son utilisation ou la supprimer en
survolant le nom de l'autorité pour faire apparaître les icônes.
L'ajout d'une nouvelle autorité peut également être réalisée pendant la configuration d'une
topologie VPN, à l'étape du choix de l'authentification, en cliquant sur le bouton Ajouter une
nouvelle autorité.
6.1.3 Créer les objets pour les sous-réseaux

Rendez-vous dans le menu de gauche Objets réseau.
Vous devez créer autant d'objets que de réseaux qui seront compris dans votre topologie VPN,
soit quatre objets dans notre exemple.
6.1.4 Créer la topologie VPN

Vous disposez maintenant de tous les éléments nécessaires à la configuration de votre topologie
VPN.
1. Dans le menu Configuration > Topologies VPN, cliquez sur Ajouter une topologie VPN en haut
de l'écran et choisissez Maillage .

2. Entrez un nom. La description est facultative.

3. Choisissez l'authentification par certificat X.509 et sélectionnez l'autorité de certification ayant
délivré les certificats des firewalls impliqués dans la topologie VPN.
4. Sélectionnez le profil de chiffrement. Le serveur SMC propose trois profils pré-configurés.
Créez vos profils personnalisés en vous rendant dans le menu VPN > Profils de chiffrement.
Consultez le Manuel d'utilisation et de configuration des firewalls SN pour plus d'informations
sur les options des profils de chiffrement.
5. Choisissez les correspondants de votre topologie. Vous ne pourrez sélectionner que des
firewalls connectés ou déconnectés, et en version 3 minimum.
6. Choisissez les réseaux associés à chacun de vos correspondants.
8. Déployez la configuration sur les firewalls impliqués dans la topologie. La configuration VPN
appartient à la politique globale du firewall.
6.2 Configurer une topologie en étoile

Exemple de cas d'usage :
Une société dont le siège social est à Paris possède deux succursales à Bordeaux et Madrid. Le
sous-réseau Comptabilité du siège social doit échanger des informations avec les sous-réseaux
Comptabilité des succursales. Les trois sites de la société sont protégés par des firewalls SN
gérés par le serveur SMC.
La société vient d'acquérir une nouvelle entité qui possède également un service Comptabilité et
dont le réseau est protégé par un firewall d'un autre fabriquant.
L'administrateur doit connaître l'adressage de ce firewall, qui sera déclaré en tant que
correspondant externe et l'adressage du sous-réseau.
Le type d'authentification choisi est la clé pré-partagée (PSK - pre-shared key).
Pour configurer les tunnels VPN entre les quatre sites, suivez les étapes suivantes.
6.2.1 Créer les objets pour les sous-réseaux

Rendez-vous dans le menu de gauche Objets réseau.

Vous devez créer autant d'objets que de réseaux qui seront compris dans votre topologie VPN,
soit quatre objets Réseau dans notre exemple.
Votre topologie comprend un correspondant externe. Vous devez créer un objet Machine pour ce
firewall.
6.2.2 Créer la topologie VPN

Vous disposez maintenant de tous les éléments nécessaires à la configuration de votre topologie
VPN.
1. Dans le menu Configuration > Topologies VPN, cliquez sur Ajouter une topologie VPN en haut
de l'écran et choisissez Étoile.
2. Entrez un nom. La description est facultative.

3. Choisissez l'authentification par clé pré-partagée.
4. Générez une clé aléatoire.
5. Sélectionnez le profil de chiffrement. Le serveur SMC propose trois profils pré-configurés.
Créez vos profils personnalisés en vous rendant dans le menu Configuration > Profils de
chiffrement. Consultez le Manuel d'utilisation et de configuration des firewalls SN pour plus
d'informations sur les options des profils de chiffrement.
6. Choisissez le centre de votre topologie. Il présente alors une icône "étoile" dans la liste des
firewalls en-dessous, et le firewall apparaît en gras.
7. Choisissez les correspondants de votre topologie. Vous ne pourrez sélectionner que des
firewalls connectés ou déconnectés, et en version 3 minimum.
8. Choisissez les réseaux associés à chacun de vos correspondants.
10. Déployez la configuration sur les firewalls impliqués dans la topologie. La configuration VPN
appartient à la politique globale du firewall.
6.3 Modifier et supprimer une topologie VPN

Depuis la liste de vos topologies VPN dans le menu Configuration > Topologies VPN, modifiez ou
supprimez une topologie.
Pour modifier :

l Double-cliquez sur la ligne d'une topologie ou,

l Survolez une ligne avec la souris pour faire apparaître l'icône crayon . L'icône apparaît
dans chaque colonne et permet d'ouvrir directement le panneau de l'assistant correspondant
à la colonne.
Pour supprimer :
l Survolez le nom du firewall dans la liste et cliquez sur la croix rouge .
Dans les deux cas, redéployez la configuration après ces actions.
6.4 Superviser l'état des tunnels VPN

Le menu Supervision > VPN permet de consulter l'état de chaque tunnel configuré dans chaque
topologie.
Passez votre souris sur l'icône d'état d'un tunnel pour afficher une info-bulle indiquant son état,
ainsi que l'état des correspondants.

7. CRÉER ET ORGANISER DES RÈGLES DE FILTRAGE ET TRANSLATION
7. Créer et organiser des règles de filtrage et

translation
Cette fonctionnalité est disponible pour des firewalls SN en version 3.0 minimum.
SMC permet de déployer des règles de filtrage et de translation sur votre parc de firewalls. Les
règles s'appliquent à des ensembles de firewalls (dossiers et sous-dossiers) ou sont spécifiques
à certains firewalls, offrant ainsi la capacité de configurer une seule fois une règle partagée par
plusieurs sites tout en gardant la possibilité de déployer des règles spécifiques à un site donné.
Pour classer vos firewalls par dossier, reportez-vous à la section Classer les firewalls par dossiers.
Les règles appliquées au dossier racine par défaut MySMC s'appliquent à tout le parc de firewalls.
Pour obtenir plus de détails sur chaque menu et option de la configuration des règles, consultez
le Manuel d'utilisation et de configuration des firewalls SN.
Les règles sont définies dans les onglets Règles de filtrage et Règles de translation accessibles
depuis le menu Configuration > Firewalls et dossiers ou depuis les paramètres d'un firewall.
7.1 Comprendre l'ordre de lecture des règles
Les règles de filtrage et de translation appliquées à un firewall donné sont la combinaison de

deux types de règles créées dans SMC :
l les règles partagées entre plusieurs firewalls, créées dans les dossiers (dossier auquel
appartient le firewall ainsi que ses dossiers parents).

l les règles spécifiques au firewall, créées dans les paramètres du firewall.
Ces règles sont déployées dans la politique de sécurité globale du firewall SN. A la suite de ces
règles, s’appliquent les éventuelles règles de la politique de sécurité locale du firewall.
Le firewall hérite des règles du dossier auquel il appartient ainsi que des règles de ses dossiers
parents, et celles-ci s’appliquent dans l’ordre suivant :
l règles de priorité haute configurées dans les dossiers, du général au particulier.
l règles spécifiques au firewall.
l règles de priorité basse configurées dans les dossiers, du particulier au général.
Par exemple, une règle de priorité haute dans le dossier MySMC ne peut pas être surchargée par
une autre règle. Une règle de priorité basse dans le dossier MySMC sera surchargée par toutes les
autres règles définies dans les dossiers ou pour un firewall spécifique.

7.2 Créer des règles de filtrage et de translation

1. Dans le menu Configuration > Firewalls et dossiers, naviguez jusqu'au niveau de dossier sur
lequel vous souhaitez appliquer une règle ou jusqu'à un firewall spécifique. Dans le cas de
règles spécifiques, accédez également directement aux paramètres du firewall depuis la vue
de Supervision.
2. Ouvrez l'onglet Règles de filtrage ou Règles de translation.
3. Cliquez sur Ajouter et choisissez d'ajouter une règle de priorité haute ou basse, en tenant
compte de l'ordre d'application souhaité, comme expliqué dans la section précédente.
4. Configurez la règle :
l Lorsque des objets Machine ou Réseau sont utilisés dans la règle, vous pouvez utiliser
des objets variables, dont l'adresse IP prendra la valeur correspondant au firewall

concerné. Pour plus d'informations, reportez-vous à la section Créer des objets variables.
l les paramètres suivants ne peuvent être complétés par des données remontées par les
firewalls et doivent être rentrés à la main à travers des champs texte :

o Menu Source > Général > Interface d'entrée, cliquez sur Interface personnalisée.
o Menu Destination > Configuration avancée > Interface de sortie, cliquez sur Interface
personnalisée.
l Consultez le Manuel d'utilisation et de configuration des firewalls SN pour obtenir des
détails sur les menus et options.

5. Lorsque la configuration des règles est terminée, déployez la configuration sur les firewalls
concernés.
En plus des règles du dossier dans lequel vous vous trouvez ou du firewall, les onglets Règles de
filtrage et Règles de translation affichent les règles des dossiers parents en lecture seule. Ainsi
vous visualisez toutes les règles qui s'appliquent à un firewall sur un même écran, dans leur
ordre d'application.
Vous pouvez modifier l'ordre d'application des règles en utilisant les boutons Monter et
Descendre.
7.3 Exemples de cas d'usage
7.3.1 Gérer un parc sans partage de règles

Prenons l'exemple d'un prestataire qui administre des firewalls SN pour plusieurs clients :
l chaque client ne possède qu'un seul firewall.
l tous les firewalls se trouvent dans le dossier racine MySMC, on n'utilise pas les sous-
dossiers.
l les firewalls ne possèdent aucune règle de filtrage ou de translation en commun.
l le prestataire ne veut pas se connecter sur chaque firewall en direct pour définir des règles.
Le prestataire doit donc :

l définir des règles spécifiques sur chaque firewall dans SMC, en se rendant dans l'onglet
Règles de filtrage ou Règles de translation du firewall.
l éventuellement, définir une règle dite "Block all" en tant que dernière règle sur chacun des
firewalls pour ignorer les règles présentes dans la politique de sécurité locale des firewalls, le
cas échéant. Pour plus d'informations sur la configuration de la règle "Block all", consultez le
Manuel d'utilisation et de configuration des firewalls SN.
l déployer la configuration sur les firewalls. Ces règles sont déployées dans la politique de
sécurité globale des firewalls.
7.3.2 Gérer un parc avec des règles partagées et des règles spécifiques
Prenons l'exemple d'un prestataire qui administre également des firewalls SN pour plusieurs
clients :
l chaque client ne possède qu'un seul firewall.
l les firewalls sont classés dans des sous-dossiers aux noms des clients.
l les firewalls possèdent des règles de filtrage ou de translation en commun et des règles
spécifiques.
Le prestataire doit donc :
l définir les règles partagées par tous les firewalls dans le dossier MySMC, par exemple pour
donner à tous les firewalls l'accès à son datacenter. Il utilise pour cela un objet variable : un
objet Machine représentant une interface des firewalls. Ainsi une seule règle et un seul objet
suffisent pour tous les firewalls. Pour plus d'informations, reportez-vous à la section Créer des
objets variables.
l définir des règles spécifiques sur chaque firewall depuis SMC, en se rendant dans l'onglet
Règles de filtrage ou Règles de translation du firewall.

l éventuellement, définir une règle dite "Block all" en tant que dernière règle de priorité basse
dans le dossier MySMC pour ignorer les règles présentes dans la politique de sécurité locale
des firewalls, le cas échéant. Pour plus d'informations sur la configuration de la règle "Block
all", consultez le Manuel d'utilisation et de configuration des firewalls SN.
7.3.3 Gérer un parc multi-sites avec des règles partagées et spécifiques et délégation
de filtrage
Prenons l'exemple d'une entreprise de grande distribution possédant un entrepôt, des bureaux et
des magasins de type hypermarchés et supermarchés sur plusieurs sites :
l l'administrateur central utilise deux niveaux de sous-dossiers sous le dossier racine pour
classer ses firewalls.

l des règles de filtrage et de translation s'appliquent à tous les firewalls, d'autres sont propres à
certains dossiers.
l l'administrateur veut déléguer l'administration de certains flux aux administrateurs locaux afin
de leur laisser la possibilité de mettre en place des règles locales sur des services, des
protocoles, des utilisateurs ou des réseaux spécifiques. Un magasin pourrait par exemple
avoir besoin de communiquer avec un prestataire de vidéo-surveillance.

L'administrateur central doit donc :

l définir les règles partagées par tous les firewalls dans le dossier MySMC en utilisant les objets
variables. Pour plus d'informations, reportez-vous à la section Créer des objets variables.
l définir des règles partagées par les entrepôts/bureaux/magasins dans les dossiers et sous-
dossiers correspondants.
l définir éventuellement des règles spécifiques sur certains firewalls depuis SMC, en se
rendant dans l'onglet Règles de filtrage ou Règles de translation du firewall.

l choisir l'action Déléguer pour les règles concernées dans le menu Action de la règle et définir
une règle "Block all" en tant que dernière règle de priorité basse sur le dossier racine MySMC.

7.4 Gérer la migration d'un parc de firewalls en production dans SMC

Si vous ne créez pas de règle "Block all" en tant que dernière règle dans SMC, les règles de filtrage
et de translation locales, c'est-à-dire créées directement sur un firewall, seront lues après les
règles dites globales (provenant de SMC).
Dans le cas d'une migration d'un parc de firewalls en production vers une administration
centralisée dans SMC, nous vous recommandons donc de ne pas créer cette règle "Block all",
pour ne pas perturber la production le temps de la migration.
A terme, lorsque la migration sera terminée, nous vous suggérons de récrire les règles des
politiques locales des firewalls dans SMC et d'ajouter une règle "Block all" le cas échéant.
7.5 Créer une règle de translation pour les flux sortants pour tous les firewalls
gérés par SMC
Pour que les adresses IP privées d'un réseau interne soient remplacées par l'adresse IP publique
d'un firewall SN, avant de créer une règle de translation partagée par tous les firewalls, vous
devez au préalable créer l'objet Machine qui représente l'adresse publique des firewalls :
1. Pour chaque firewall, double-cliquez sur sa ligne dans la vue de supervision pour afficher le
panneau Modifier le firewall.
2. Dans l'onglet Variables personnalisées, remplissez un champ personnalisé avec son adresse
IP publique. Ce doit être toujours le même numéro de champ pour tous les firewalls.
3. Dans le menu Objets réseau, créez un objet Machine que vous appelez IPpubliqueSNS par
exemple et dans le champ Adresse IPv4 ou Adresse IPv6, entrez le nom de la variable
correspondant à l'adresse sous la forme %FW_CUSTOMx%. Pour plus d'informations, reportez-
vous à la section Créer des objets variables.
4. Dans le dossier racine MySMC, créez la règle de translation permettant de remplacer les
adresses privées du réseau par l'adresse publique en utilisant l'objet précédemment créé.

8. EXÉCUTER DES COMMANDES CLI SNS SUR UN PARC DE FIREWALLS
8. Exécuter des commandes CLI SNS sur un parc

de firewalls
Stormshield Management Center permet l'exécution de scripts CLI SNS sur des firewalls SN à
partir de la version 2.4. Ce mode permet la configuration de toutes les fonctionnalités des
firewalls. Ainsi les scripts offrent une solution de déploiement d’une configuration d’un parc de
firewalls pour des fonctionnalités non disponibles dans les menus de déploiement du serveur
SMC.
L'exécution des scripts CLI SNS est possible depuis l'interface web du serveur SMC et depuis
l'interface de ligne de commande.
Pour consulter des exemples d'utilisation de scripts, reportez- vous à l'annexe Exemples
d'utilisation de scripts CLI SNS.
8.1 Créer le script de commandes CLI

Créez un fichier texte de 5 Mo maximum, encodé en UTF-8 et portant l'extension .script qui
contient les commandes à exécuter sur votre parc de firewalls SN.
Les commandes exécutables disponibles de la console CLI sont référencées :
l dans l'interface web d'administration des firewalls SN, menu Configuration > Système >
Console CLI. Consultez le Manuel d'utilisation et de configuration des firewalls SN pour savoir
comment utiliser l'interface.
l dans le guide CLI Serverd Commands Reference Guide disponible depuis votre espace privé
https://mystormshield.eu, rubrique Base documentaire.

Pour vous aider, vous pouvez également afficher les commandes CLI dans l'interface web
d'administration d'un firewall SN afin de copier les commandes utilisées pour réaliser une action
que vous voulez reproduire dans votre script :
1. Cliquez sur la flèche noire en bas de l'interface d'administration d'un firewall SN

pour déplier le panneau d'événements.
2. Sélectionnez le menu Options > Afficher les commandes.
3. Effectuez une action (créer un objet par exemple) que vous souhaitez répéter dans le script.
4. Copiez les commandes qui ont été exécutées pour produire l'action.
5. Collez-les dans votre script.
Pour adapter les commandes à chaque firewall, utilisez des variables entourées du signe %. Pour
connaître les variables à utiliser, référez-vous à la section Utiliser des variables .

8.2 Utiliser des variables

Les propriétés des firewalls indiquées dans la liste des firewalls ou dans les paramètres de
chaque firewall (menu Supervision > Firewalls ) constituent des variables qui peuvent être
utilisées dans les scripts.
Vous pouvez utiliser encore plus de variables à l'aide d'un fichier CSV. Reportez-vous à la section
Utiliser un fichier CSV.
Les variables sont sensibles à la casse.
8.2.1 Utiliser les variables spécifiques aux firewalls

Insérez les variables entourées du signe % dans les commandes CLI de votre script.
Ces variables prennent une valeur différente suivant le firewall sur lequel le script est exécuté :
l FW_ADDRESS : champ Adresse IP du firewall connectée au serveur SMC.
l FW_DESCRIPTION : champ Description du firewall.
l FW_LOCATION : champ Lieu du firewall.
l FW_MODEL : modèle du firewall.
l FW_NAME : nom du firewall.
l FW_SERIAL : numéro de série du firewall.
l FW_VERSION : numéro de la version du firewall.
l HA_PEER_SERIAL: numéro de série du firewall passif (sans Haute Disponibilité, la valeur sera
vide).
l HA_PEER_FIRMWARE: numéro de la version du firewall passif (sans Haute Disponibilité, la
valeur sera vide).

l FW_CUSTOM1 à FW_CUSTOM10 : champs personnalisés 1 à 10.
Il existe dix variables personnalisables à votre convenance (FW_CUSTOM1 à FW_CUSTOM10).

Double-cliquez sur un firewall dans la liste du menu Supervision > Firewalls et ouvrez l'onglet
Variables personnalisées. Remplissez les champs à personnaliser.
8.2.2 Utiliser les variables globales

Ces variables ont la même valeur pour tous les firewalls et font référence à la date et heure du
serveur :
l NOW : date complète au format local (exemple : "%NOW%" => "20151222-104727").
l NOW_AS_DATE : date au format local (exemple : "%NOW_AS_DATE%" => "20151222").
l NOW_AS_TIME : heure au format local (exemple : "%NOW_AS_TIME%" => "104727").
8.2.3 Utiliser un fichier CSV

Dans le cas où le nombre de variables personnalisables ne suffit pas, et afin de réaliser des
opérations sur un grand nombre de firewalls ou bien de réaliser une opération complexe sur un
firewall, nous recommandons l'utilisation d'un fichier CSV.
Le fichier CSV n'est utilisable que depuis l'interface de ligne de commande. Les variables
associées aux firewalls sont alors lues depuis ce fichier et le script est dupliqué autant de fois
qu'il y a de lignes dans le fichier CSV pour un firewall donné.

Pour savoir comment utiliser le fichier CSV depuis l'interface de ligne de commande, reportez-vous
à la section Exemple d'utilisation de script en ligne de commande avec un fichier CSV.
8.3 Exécuter le script CLI SNS depuis l'interface web

1. Dans l'interface web du serveur SMC, sélectionnez Scripts > Scripts CLI SNS.
2. Dans l'onglet Sélection des firewalls, sélectionnez le script à exécuter.
l Le bouton permet de visualiser le contenu brut du script, tel qu'il se trouve sur votre
poste de travail.
3. Dans le menu Optionnel : pièces jointes liées au script, sélectionnez le cas échéant un ou
plusieurs fichiers à joindre au script. Pour plus d'informations, reportez-vous à la section
Joindre des fichiers à un script et réceptionner des fichiers générés par script.
4. Dans la deuxième partie de l'onglet Sélection des firewalls, sélectionnez les firewalls SN sur
lesquels exécuter le script. Pour chaque firewall :
l L'icône indique le cas échéant que le firewall ne peut pas être sélectionné pour
l'exécution du script. Dans ce cas, la ligne est grisée. Survolez l'icône avec la souris pour
afficher la raison :
o Le firewall n'est pas connecté.
o La version minimale du firewall doit être la version 2.4.0.
l L'icône permet de visualiser le contenu du script incluant les variables remplacées

par les valeurs associées au firewall en question. L'icône prend la forme en cas d'erreur
dans l'analyse du script (fichier joint manquant, variable inconnue). Visualisez le contenu
du script pour consulter la ligne qui pose problème.
5. Cliquez sur le bouton Exécuter le script en bas de l'onglet. L'onglet Exécution s'ouvre
automatiquement.
6. Suivez la progression et le résultat de l'exécution des scripts sur chacun des firewalls
sélectionnés.
Lors du déroulement d'une exécution de script ou d'un déploiement de configuration, vous
ne pouvez pas lancer une autre exécution de script mais il est possible de la préparer dans
l'onglet Sélection des firewalls.
ATTENTION
L'exécution d'un script prend automatiquement les droits de lecture/écriture sur les
éventuelles sessions d'administration déjà établies sur les firewalls concernés.
7. Un résumé de l'exécution est visible en bas du panneau, affichant les réussites, erreurs et les
firewalls sur lesquels le script n'a pas pu être déployé.
8. Vous pouvez également filtrer la liste des firewalls en sélectionnant un état dans la liste
déroulante en haut de la liste.
9. En cas d'erreur, reportez-vous aux traces du serveur SMC. Vous pouvez également vous
connecter aux traces et rapports d'activité d'un firewall en cliquant sur l'icône dans la
colonne Actions.
8.4 Exécuter le script CLI SNS en ligne de commande

Depuis l'interface de ligne de commande du serveur SMC, entrez la commande fwadmin-sns-
cli-script suivi des options nécessaires pour joindre le script (et des pièces jointes le cas
échéant) et sélectionner les firewalls.

ASTUCE
Affichez l'aide avec l'option --help :
Parmi ces options, deux sont obligatoires :

l -s : à faire suivre du chemin vers le fichier script
l une des trois options suivantes :
o -l : à faire suivre d'une liste de noms de firewalls séparés par des virgules
o -a : indique qu'on exécute le script sur tous les firewalls
o -c : à faire suivre d'un chemin vers un fichier CSV comprenant la liste des firewalls et les
variables associées. La commande reprend alors les firewalls spécifiés dans ce fichier.
Pour plus d'informations, reportez-vous à la section Utiliser un fichier CSV.
L'option -c peut être utilisée conjointement avec les options -l et -a. Dans ce cas, ces deux
dernières options précisent la liste des firewalls sur lesquels exécuter le script.
Les options facultatives sont les suivantes :
l -f : permet de forcer la déconnexion d'une session précédente, par exemple dans le cas d'une
exécution qui ne s'est pas terminée proprement.

l -v : permet d'afficher des logs plus détaillés
l --dry-run : permet d'afficher le contenu du script incluant les variables associées à chaque
firewall, uniquement à des fins de consultation.

Lorsqu'un déploiement de configuration est en cours ou qu'un autre script est en cours
d'exécution, il est impossible d'exécuter un nouveau script en ligne de commande. Un message
d'erreur s'affiche si le déploiement n'est pas totalement terminé sur tous les firewalls connectés
ou si le script n'a pas fini de s'exécuter. Les firewalls pour lesquels le déploiement de
configuration a été différé n'empêchent pas l'exécution de scripts.
Pour envoyer ou réceptionner des fichiers joints à un script, reportez-vous à la section Joindre
des fichiers à un script et réceptionner des fichiers générés par script.

Exemple d'utilisation de script en ligne de commande avec un fichier CSV

Voici un exemple d'utilisation d'un fichier CSV avec un script. Pour tous les firewalls d'un parc
(deux dans cet exemple), on souhaite créer un objet qui représente le serveur Active Directory
principal et un objet qui représente le serveur AD secondaire, en tenant compte des assertions
suivantes :
l Le serveur AD principal doit être un objet avec résolution d'adresse IP statique.
l Le serveur AD secondaire doit être un objet avec résolution d'adresse IP dynamique.
l Le nom de chaque objet doit indiquer s'il s'agit du serveur principal ou secondaire.
l Le commentaire de chaque objet doit indiquer le nom du firewall sur lequel il sera créé.
l L'adresse IP de chaque serveur AD est différente pour chaque firewall.
1. Créez le script /var/tmp/ad.script :

# Create a new host
CONFIG OBJECT HOST NEW name=AD-%type% comment="%type% AD server for FW %FW_
NAME%" ip="%ip_addr%" resolve=%mode%
CONFIG OBJECT ACTIVATE
2. Créez le fichier CSV /var/tmp/ad.csv pour le parc de deux firewalls :

firewall;type;ip_addr;mode
sns-paris;Main;1.1.1.1;static
sns-paris;Backup;1.1.2.2;dynamic
sns-lyon;Main;4.4.4.4;static
sns-lyon;Backup;4.4.5.5;dynamic
3. Entrez la commande suivante dans l'interface de ligne de commande :

fwadmin-sns-cli-script --script /var/tmp/ad.script --csv-file /var/tmp/ad.csv
Voici le résultat attendu pour chacun des deux firewalls sns-paris et sns-lyon :
# Create a new host
CONFIG OBJECT HOST NEW name=AD-Main comment="Main AD server for FW sns-paris"
ip="1.1.1.1" resolve=static
# Create a new host
CONFIG OBJECT HOST NEW name=AD-Backup comment="Backup AD server for FW sns-paris"
ip="1.1.2.2" resolve=dynamic
# Create a new host
CONFIG OBJECT HOST NEW name=AD-Main comment="Main AD server for FW sns-lyon"
ip="4.4.4.4" resolve=static
# Create a new host
CONFIG OBJECT HOST NEW name=AD-Backup comment="Backup AD server for FW sns-lyon"
ip="4.4.5.5" resolve=dynamic
ASTUCE
Dans un fichier CSV, les champs sont séparés par un délimiteur, souvent la virgule ou le
point virgule. Par défaut la commande fwadmin-sns-cli-script attend le caractère
point virgule (;) en tant que délimiteur. Suivant le fichier CSV, le délimiteur peut être
différent. Pour changer de délimiteur, faites précéder la commande de la variable FWADMIN_
SNS_CLI_CSV_DELIMITER. Par exemple :
FWADMIN_SNS_CLI_CSV_DELIMITER=, fwadmin-sns-cli-script --csv-
file=/var/tmp/monfichier.csv --script=/var/tmp/monscript.script
8.5 Exécuter le script CLI SNS sur un cluster haute disponibilité

Les étapes sont identiques à celles des deux sections précédentes.

Le script est d'abord exécuté sur le nœud actif du cluster. Le serveur SMC effectue ensuite une
synchronisation des deux nœuds du cluster.
Si le nœud passif n'est pas connecté au nœud actif au moment de l'exécution, le serveur SMC
effectuera une synchronisation des deux nœuds du cluster lorsque le nœud passif se
reconnectera au nœud actif.
8.6 Joindre des fichiers à un script et réceptionner des fichiers générés par script
L'exécution de certaines commandes de scripts nécessite l'envoi ou la réception de fichiers vers
ou depuis les firewalls SN. Par exemple :
l la mise à jour des firewalls SN
l l'installation de licence
l la génération de sauvegarde de configuration de firewalls SN
Il est possible d'envoyer et de réceptionner des fichiers depuis l'interface web du serveur SMC et
depuis l'interface de ligne de commande.
8.6.1 Arguments de commande à utiliser dans le script

Pour une commande requérant un fichier en entrée, utilisez les arguments de commande
suivants pour spécifier le nom du fichier à envoyer :
l $FROM_ DATA_ FILE ("nomDeMonFichier.extension") pour joindre un fichier sans
traitement Unicode.
l $FROM_ TEXT_ FILE ("nomDeMonFichier.extension") pour joindre un fichier avec
traitement Unicode.
Pour une commande générant un fichier en sortie, utilisez les arguments de commande suivants
pour spécifier le nom du fichier à réceptionner :
l $SAVE_ TO_ DATA_ FILE ("nomDuFichier.extension") pour sauvegarder un fichier
sans traitement Unicode.

l $SAVE_ TO_ TEXT_ FILE ("nomDuFichier.extension") pour sauvegarder un fichier
avec traitement Unicode.

Pour connaître les emplacements de ces fichiers, reportez-vous aux sections ci-dessous Joindre
un fichier à un script CLI SNS et Réceptionner un fichier généré par script CLI SNS.
Le script ne s'exécutera pas si :
l aucun fichier n'est spécifié en argument d'une commande qui nécessite un fichier en entrée
ou génère un fichier en sortie.

l un fichier est spécifié en entrée ou en sortie en argument d'une commande qui n'en requiert
pas.
Exemple
La commande suivante permet de générer sur le serveur SMC le fichier de sauvegarde d'un
firewall nommé backup-22-09-16.zip :
CONFIG BACKUP list=all $SAVE_TO_DATA_FILE("backup-22-09-2016.zip")

ASTUCE
Vous pouvez utiliser des variables dans la syntaxe d'envoi ou de réception de fichiers. Par
exemple, pour créer des sauvegardes de configuration de plusieurs firewalls, écrivez la
commande suivante :
CONFIG BACKUP list=all $SAVE_TO_DATA_FILE("backup-%FW_NAME%.na")
8.6.2 Joindre un fichier à un script
Via l'interface web

1. Dans l'interface web du serveur SMC, sélectionnez Scripts > Scripts CLI SNS.
2. Dans l'onglet Sélection des firewalls, après avoir sélectionné un script, déroulez le sous-menu
Optionnel : pièces jointes liées au script et sélectionnez une ou plusieurs pièces jointes.
Via l'interface de ligne de commande

Copiez les pièces jointes à la racine du dossier /var/tmp/sns-cli/input du serveur SMC à l'aide du
protocole SSH.
Le moteur d'exécution du script récupère les fichiers nécessaires à cet emplacement afin de les
transmettre aux firewalls.
ASTUCE
Vous pouvez changer de dossier par défaut dans la variable d'environnement FWADMIN_
SNS_ CLI_ ATTACHMENTS_ DIR située dans le fichier /data/config/fwadmin-
env.conf.local. Vous devrez ensuite redémarrer le serveur : nrestart fwadmin-server.
8.6.3 Réceptionner un fichier généré par script
Via l'interface web

Dans l'onglet Exécution du menu Scripts CLI SNS, récupérez l'ensemble des fichiers et des traces
générés pour chaque firewall par la dernière exécution de script réalisée.
Pour récupérer les fichiers et traces générés par des exécutions antérieures, reportez-vous à la
section suivante Via l'interface de ligne de commande.
Réceptionner les fichiers et traces
Cliquez sur le bouton Télécharger tous les fichiers générés en bas de l'onglet Exécution pour
télécharger une archive comprenant l'ensemble des fichiers générés et des traces d'exécution
pour tous les firewalls à la fois. L'archive contient un dossier par firewall.
Pour récupérer les fichiers et traces générés par l'exécution d'un script sur un seul firewall,
cliquez sur l'icône dans la colonne Fichiers générés.
Consulter les traces d'exécution
Pour simplement consulter les traces d'exécution pour un firewall donné, cliquez sur l'icône
dans la colonne Fichiers générés.
Via l'interface de ligne de commande

L'ensemble des fichiers et des traces générés pour chaque firewall après l'exécution d'un script
est placé par défaut dans le dossier /var/tmp/sns-cli/output du serveur SMC. L'arborescence
créée comprend un dossier pour chaque exécution de script.

ASTUCE
Vous pouvez changer de dossier par défaut dans la variable d'environnement FWADMIN_
SNS_CLI_OUTPUT_DIR située dans le fichier /data/config/fwadmin-env.conf.local. Vous
devrez ensuite redémarrer le serveur : nrestart fwadmin-server.
Exemple
Lorsqu'on exécute la commande
on obtient l'arborescence suivante :
/var/tmp/sns-cli/output/latest -> 00001_20160219-171926
/var/tmp/sns-cli/output/00001_20160219-171926
/var/tmp/sns-cli/output/00001_20160219-171926/sns-2
/var/tmp/sns-cli/output/00001_20160219-171926/sns-1/backup-sns-2.na
/var/tmp/sns-cli/output/00001_20160219-171926/sns-2/output.log
/var/tmp/sns-cli/output/00001_20160219-171926/sns-1
/var/tmp/sns-cli/output/00001_20160219-171926/sns-1/backup-sns-1.na
/var/tmp/sns-cli/output/00001_20160219-171926/sns-1/output.log
Le dossier latest pointe toujours vers la dernière exécution.
8.7 Résoudre les problèmes

Consultez cette section pour résoudre les éventuels problèmes rencontrés lors de l'utilisation de
scripts CLI SNS.
8.7.1 Le fichier de script est trop volumineux

l Situation : Lors de la sélection du fichier de script, un message d'erreur indique que le script
est trop volumineux.
l Cause : La taille du fichier ne doit pas dépasser 5 Mo par défaut.
l Solution : Si besoin, augmentez la limite en ajoutant la ligne ci-dessous dans le fichier
/data/config/fwadmin- env.conf.local . Par exemple, fixez la limite à 10 Mo :
FWADMIN_SNS_CLI_SCRIPT_MAX_UPLOAD_SIZE=$((10*1024*1024))
8.7.2 Certains caractères ne sont pas pris en compte dans le script

l Situation : Certains caractères accentués ou spéciaux ne s'affichent pas correctement dans le
script. L'exécution du script échoue.
l Cause : Le fichier .script n'est pas encodé en UTF-8.
l Solution : Modifiez l'encodage du script en UTF-8.
8.7.3 L'exécution du script échoue sur certains firewalls

l Situation : L'onglet Exécution du menu Scripts CLI SNS indique des erreurs.
l Cause : Le script fait appel à des variables personnalisées et/ou à des pièces jointes et celles-
ci sont manquantes. L'encodage du script n'est pas correct. D'autres problèmes peuvent être
à l'origine de l'échec de l'exécution.

l Solutions :
o Consultez la cause de l'erreur qui s'affiche dans la barre de progression de l'exécution du
script pour un firewall donné.
o Consultez le fichier de traces du serveur dans /var/log/fwadmin-server/server.log pour
plus de détails.
o Avant d’exécuter le script, dans l'onglet Sélection des firewalls, vous pouvez visualiser
celui-ci pour un firewall donné. Certaines erreurs peuvent être précisées.
8.7.4 Le bouton Exécuter le script reste grisé

l Situation : Des firewalls sont sélectionnés pour l'exécution d'un script et le bouton d'exécution
reste grisé.
l Cause : Lors du déroulement d'une exécution de script ou d'un déploiement de configuration,
vous ne pouvez pas lancer une autre exécution de script.
l Solution : Attendez la fin de l'exécution ou du déploiement en cours.

9. SUPPRIMER DES FIREWALLS SN DU SERVEUR SMC
9. Supprimer des firewalls SN du serveur SMC

1. Pour ne plus administrer un firewall à partir du serveur SMC et le supprimer de la liste de
firewalls dans l'interface web, survolez le nom du firewall dans le menu Supervision >
Firewalls et cliquez sur la croix rouge.
Le firewall ne pourra plus se connecter au serveur SMC.

2. Dans un second temps, connectez-vous au firewall en SSH ou via le port console et entrez les
lignes de commande suivantes :
nstop cad
setconf /Firewall/ConfigFiles/Cad/cad Server State 0
rm /Firewall/ConfigFiles/Cad/*.pem
Le firewall ne tentera plus de se connecter au serveur SMC.

Dans le cas d'un cluster haute disponibilité, entrez ces commandes sur le nœud actif du
cluster et synchronisez les deux nœuds.

10. GÉRER ET MAINTENIR LE SERVEUR SMC
10. Gérer et maintenir le serveur SMC

Les opérations de gestion et de maintenance s'effectuent soit à partir de l'interface web soit à
partir de l'interface de ligne de commande, ou les deux pour certaines.
10.1 Vérifier la version du serveur SMC en ligne de commande

Pour connaître la version du serveur SMC :
2. Tapez la commande fwadmin-version.
3. L'information suivante s'affiche :
l FWADMIN_VERSION : indique la version sous la forme 1.2.3.
l FWADMIN_BUILD_NUMBER : indique la date du build du serveur ainsi que les sommes de
contrôle Stormshield qui pourront être fournies au support Stormshield Network Security
en cas d'incident.
10.2 Modifier le fuseau horaire et la date du serveur SMC

Le fuseau horaire du serveur SMC est en GMT+1 (heure de l'Europe Centrale) par défaut.
10.2.1 Modifier le fuseau horaire

2. Tapez la commande fwadmin-date-time --timezone "timezone" pour modifier le
fuseau. Remplacez timezone par le bon fuseau horaire.
l Pour visualiser les fuseaux horaires disponibles, tapez la commande
ls -l /usr/share/zoneinfo/.
l Pour trouver la ville dans la zone de votre choix (zone Asia par exemple), tapez la
commande ls /usr/share/zoneinfo/Asia.
3. Redémarrez le serveur avec la commande reboot. Cette étape est nécessaire pour que tous
les services prennent en compte le nouveau fuseau horaire.
4. Tapez la commande date pour vérifier que la modification a bien été prise en compte.
10.2.2 Modifier la date manuellement

1. Tapez la commande fwadmin-date-time --date-time "dateandtime" pour modifier
la date. Remplacez dateandtime par la date et l'heure actuelles, en utilisant le format YYYY-
MM-DD hh:mm:ss.
10.2.3 Modifier la date via le protocole NTP

Pour activer le protocole NTP sur le serveur SMC :
fwadmin-date-time --ntp-servers ntp1.org,ntp2.com,adresseIP en séparant
les serveurs NTP par une virgule si il y en a plusieurs. Les serveurs NTP peuvent être désignés

par leur adresse IP ou leur nom DNS.

Pour désactiver le protocole NTP, vous devez repasser en mode de date manuelle.
10.2.4 Afficher un résumé complet des paramètres date/heure du serveur SMC

l Tapez la commande fwadmin-date-time pour afficher tous les paramètres date/heure du
serveur :
fwadmin-date-time
TIMEZONE=Asia/Dubai
NTPSERVERS=none
LOCALDATE=2016-05-18 09:05:19
10.3 Gérer les administrateurs

Allez dans le menu Serveur SMC > Administrateurs pour ajouter, modifier ou supprimer un
administrateur. L'affichage du panneau diffère selon que vous êtes connecté au serveur en tant
qu'utilisateur "admin" ou en temps qu'autre utilisateur.
Excepté le droit d'ajouter, de modifier ou de supprimer des administrateurs, tous les
administrateurs possèdent les mêmes droits sur l'interface web du serveur SMC.
10.3.1 Gérer les administrateurs en étant connecté avec le compte "admin"

L'utilisateur "admin" est le seul autorisé à ajouter, modifier et supprimer des administrateurs. Allez
dans le menu Administrateurs :
1. Pour ajouter un administrateur, cliquez sur Ajouter un administrateur.
2. Pour modifier un administrateur, double-cliquez sur la ligne de l'administrateur ou survolez le
nom de l'administrateur et sélectionnez l'icône crayon .
3. Pour supprimer un administrateur, survolez le nom de l'administrateur et sélectionnez la croix
rouge .
ASTUCE
L'utilisateur "admin" ne peut pas être supprimé.
10.3.2 Gérer les administrateurs en étant connecté avec un compte autre que "admin"
Les autres administrateurs qui ont été définis par le compte utilisateur "admin" ne peuvent
modifier que leur propre profil.
1. Allez dans Serveur SMC > Mon profil administrateur.
2. Modifiez les propriétés et appliquez les modifications.
10.4 Consulter et enregistrer les traces du serveur SMC

Le serveur SMC fournit deux types de fichiers de traces :
l server.log : recense toutes les actions enregistrées sur le serveur SMC. Ce fichier peut être
consulté depuis l'interface web du serveur et depuis l'interface de ligne de commande via la
commande nlogs.

l audit.log : recense toutes les actions effectuées par un administrateur sur le serveur. Ce
fichier peut être consulté depuis l'interface de ligne de commande via la commande alogs.
10.4.1 Consulter les traces server.log depuis l'interface web

1. Affichez et masquez à tout moment les traces du fichier server.log en cliquant sur le bouton
de traces en haut à droite de l'interface ou en cliquant sur la flèche noire en bas de
l'interface .
2. Dans la liste déroulante, sélectionnez le niveau de traces debug ou information.
1000 lignes maximum peuvent être affichées. Lorsque la limite est atteinte, les traces les
plus anciennes sont écrasées par les plus récentes dans l'interface.
3. Pour visualiser l'intégralité du contenu du fichier, connectez-vous au serveur SMC via le port
console ou en SSH avec le compte "root" et tapez la commande nlogs.
10.4.2 Enregistrer les traces du serveur

Dans Serveur SMC > Maintenance, cliquez sur Sauvegarder les traces dans le volet Sauvegarder
les traces du serveur.
Une archive contenant les deux fichiers de traces au format .json sera téléchargée. Les traces ne
peuvent pas être restaurées.
10.5 Sauvegarder et restaurer la configuration du serveur SMC

La sauvegarde et la restauration de la configuration du serveur SMC sont possibles à partir de
l'interface web du serveur ou de l'interface de ligne de commande.
10.5.1 Sauvegarder la configuration du serveur depuis l'interface web

Dans Serveur SMC > Maintenance , cliquez sur Sauvegarder la configuration dans le volet
Sauvegarder la configuration du serveur.
Le fichier de sauvegarde de la configuration peut être restauré à partir de :

l l'interface web du serveur SMC
l l'interface de ligne de commande
l l'assistant d'initialisation du serveur SMC
Pour plus d'informations, reportez- vous aux sections Restaurer la configuration du serveur
depuis l'interface web, Restaurer la configuration du serveur en ligne de commande et Restaurer
la configuration du serveur depuis l'assistant d'initialisation .

ASTUCE
La restriction suivante s'applique à la restauration d'une configuration du serveur : la
version du serveur SMC doit être la même que celle du serveur à partir duquel le fichier de
sauvegarde a été généré.
10.5.2 Sauvegarder la configuration du serveur en ligne de commande

1. Pour sauvegarder la configuration du serveur depuis l'interface de ligne de commande,
connectez-vous au serveur SMC via le port console ou en SSH avec le compte "root".
fwadmin-config-backup
Le nom de l'archive s'affiche.
3. Pour sauvegarder la configuration sans l'historique de déploiement, tapez la commande
fwadmin-config-backup --no-history
Le fichier de sauvegarde de la configuration peut être restauré à partir de :
l l'interface web du serveur SMC
l l'interface de ligne de commande
l l'assistant d'initialisation du serveur SMC
Pour plus d'informations, reportez- vous aux sections Restaurer la configuration du serveur
depuis l'interface web, Restaurer la configuration du serveur en ligne de commande et Restaurer
la configuration du serveur depuis l'assistant d'initialisation .
ASTUCE
La restriction suivante s'applique à la restauration d'une configuration de serveur : la
10.5.3 Restaurer la configuration du serveur depuis l'interface web

Dans le menu Serveur SMC > Maintenance, sélectionnez un fichier de sauvegarde à restaurer
dans le volet Restaurer la configuration du serveur.
Pour savoir comment créer une sauvegarde de serveur, reportez-vous aux sections Sauvegarder
la configuration du serveur depuis l'interface web et Sauvegarder la configuration du serveur en
ligne de commande.
Les traces du serveur ne sont pas contenues dans le fichier de sauvegarde.

ASTUCE
10.5.4 Restaurer la configuration du serveur en ligne de commande

1. Pour restaurer une configuration de serveur en ligne de commande, copiez le fichier de
sauvegarde dans /var/tmp sur le serveur SMC à l'aide du protocole SSH.
fwadmin-config-restore --backup-file /path/to/backup. Remplacez
backup-file /path/to/backup par le nom et le chemin.
4. Redémarrez.
ligne de commande.
ASTUCE
10.5.5 Restaurer la configuration du serveur depuis l'assistant d'initialisation

Lors de l'initialisation d'un nouveau serveur SMC après le déploiement d'une nouvelle machine
virtuelle, sélectionnez une sauvegarde à restaurer lors de la première étape de l'assistant
d'initialisation du serveur.
ligne de commande.
L'intégrité du fichier de sauvegarde est vérifiée avant sa restauration, et une nouvelle connexion
est requise.

ASTUCE
10.6 Mettre à jour le serveur SMC depuis l'interface de ligne de commande

Une archive de mise à jour est requise afin de mettre à jour le serveur SMC. L'archive implique la
mise à jour de l'interface web et du système d’exploitation.
Pendant le processus de mise à jour, les firewalls fonctionnent toujours. Les firewalls n'ont pas
besoin d'être mis à jour.
Pour mettre à jour le serveur :
1. Depuis la plate-forme collaborative, téléchargez l'archive de mise à jour sur votre poste de
travail.
2. Copiez l'archive dans /var/tmp sur le serveur SMC à l'aide du protocole SSH.
4. Tapez la commande fwadmin-update -u /var/tmp/archivename. Remplacez
archivename par le nom de votre archive.
5. Attendez la fin de la mise à jour. Pendant le processus, le serveur reste disponible dans la
version actuelle.
6. Tapez la commande reboot. Le système mis à jour redémarre.
10.7 Réinitialiser les mots de passe "root" et administrateurs

En cas de perte du mot de passe de l'utilisateur "root" permettant de vous connecter au serveur
SMC via le port console ou en SSH ou du mot de passe des administrateurs de l'interface web du
serveur, suivez les procédures de réinitialisation suivantes.

10.7.1 Réinitialiser le mot de passe de l'utilisateur "root"
ATTENTION
Toutes les actions décrites dans cette section s'opèrent avec une disposition de clavier
QWERTY.
Modifier le mode de démarrage du serveur

1. Depuis votre environnement virtuel, redémarrez le serveur SMC.
2. Lorsque celui-ci redémarre et lorsque l'écran de sélection de la version du serveur apparaît,
appuyez sur la touche Tabulation pour atteindre le mode Édition de l'écran de démarrage.
3. La ligne de commande permettant de modifier le démarrage du serveur s'affiche. Ajoutez à la

fin de cette ligne : rw init=/bin/bash
4. Appuyez sur Entrée pour valider et démarrer le serveur.
Modifier le mot de passe

1. Le serveur démarre. Entrez directement la commande passwd.
2. Entrez et confirmez le nouveau mot de passe (disposition de clavier QWERTY).
3. Redémarrez le serveur en tapant la commande shutdown -nr now.
10.7.2 Réinitialiser le mot de passe des administrateurs

2. Tapez les commandes suivantes :
l fwadmin- ui- password - - password myNewPassword pour modifier le mot de
passe de l'administrateur principal "admin".
l fwadmin- ui- password - - username myOtherUser - - password
myNewPassword pour modifier le mot de passe d'un autre administrateur.

10.8 Désactiver la synchronisation automatique d'un cluster haute disponibilité

Le serveur SMC opère une synchronisation régulière des deux nœuds des clusters haute
disponibilité de firewalls SN qu'il administre.
Si besoin, vous pouvez désactiver cette synchronisation automatique :
2. Modifiez le fichier /data/config/fwadmin-env.conf.local en ajoutant la ligne suivante à la fin :
FWADMIN_HASYNC_ON_DESYNCHRO=false
3. Redémarrez le service fwadmin-server avec la commande : nrestart fwadmin-server

ANNEXE A. EXEMPLES D'UTILISATION DE SCRIPTS CLI SNS
Annexe A. Exemples d'utilisation de scripts CLI SNS

Cette annexe fournit quatre exemples d'utilisation de scripts CLI SNS pour effectuer des actions
groupées sur un parc de firewalls SN.
Pour plus d'informations sur les scripts CLI SNS, reportez- vous à la section Exécuter des
commandes CLI SNS sur un parc de firewalls.
A.1 Sauvegarde de la configuration des firewalls

Les scripts suivants permettent de réaliser une sauvegarde de configuration de firewalls SN
standalone ou de clusters HA.
Firewall SN standalone
###############################################################
# To save the configuration of a SNS firewall
# You need to execute the following command: CONFIG BACKUP
#
# The "list" option specifies the list of modules to save. The list of modules
has to be comma-separated.
# Available modules are the following:
MailFiltering,UrlFiltering,SslFiltering,UrlGroup,Autoupdate,Services,
SecurityInspection,Object,Filter,Vpn,Ldap,Network,Global
# Use list=all in order to save all modules
#
# The $SAVE_TO_DATA_FILE argument indicates the name of the file in which the
result of the execution will be saved
###############################################################
Cluster HA
###############################################################
# To save the configuration of each peer of a HA cluster
# You need to execute twice the following command: CONFIG BACKUP
#
# The "list" option specifies the list of modules to save. The list of modules
has to be comma-separated.
# Available modules are the following:
MailFiltering,UrlFiltering,SslFiltering,UrlGroup,Autoupdate,Services,SecurityIns
pection,Object,Filter,Vpn,Ldap,Network,Global
# Use list=all in order to save all modules
#
# On a HA cluster, use the serial number to refer to the peer to save
# To do this, use the "fwserial" option
#
# The $SAVE_TO_DATA_FILE argument indicates the name of the file in which the
result of the execution will be saved
###############################################################
# For the active node

CONFIG BACKUP list=all fwserial=%FW_SERIAL% $SAVE_TO_DATA_FILE("backup-active-
node-%FW_NAME%.na")
# For the passive node

CONFIG BACKUP list=all fwserial=%HA_PEER_SERIAL% $SAVE_TO_DATA_FILE("backup-
passive-node-%FW_NAME%.na")

ANNEXE A. EXEMPLES D'UTILISATION DE SCRIPTS CLI SNS
A.2 Mise à jour des firewalls

Les scripts suivants permettent de réaliser une mise à jour des firewalls SN standalone ou des
clusters HA.
Firewall SN standalone
###############################################################
# To update a SNS firewall
# You need to execute the following command: SYSTEM UPDATE UPLOAD
#
# Execute the SYSTEM UPDATE ACTIVATE command after the SYSTEM UPDATE UPLOAD
command in order to complete the update
#
# The $FROM_DATA_FILE argument specifies the name of the update archive to be
used
###############################################################
SYSTEM UPDATE UPLOAD $FROM_DATA_FILE("fwupd-2.4.0.maj")

SYSTEM UPDATE ACTIVATE
Cluster HA
###############################################################
# To update each peer of a HA cluster
# You need to execute twice the following command: SYSTEM UPDATE UPLOAD
#
# To limit the number of failovers, we recommend to apply the update procedure to
the passive node first
# Once the passive node has rebooted, apply the update procedure to the active
node
# The passive node will become the active one after failover
#
# Execute the SYSTEM UPDATE ACTIVATE command after the SYSTEM UPDATE UPLOAD
command in order to complete the update
#
# On a HA cluster, use the serial number to refer to the peer to update
# To do this, use the "fwserial" option
#
# The $FROM_DATA_FILE argument indicate the name of the archive of update to use
###############################################################
# For the passive node

SYSTEM UPDATE UPLOAD fwserial=%HA_PEER_SERIAL% $FROM_DATA_FILE("fwupd-2.4.0.maj")
SYSTEM UPDATE ACTIVATE fwserial=%HA_PEER_SERIAL% # The passive node will reboot
after this command
# When the passive node is back online

# Follow the same procedure for the active node
SYSTEM UPDATE UPLOAD fwserial=%FW_SERIAL% $FROM_DATA_FILE("fwupd-2.4.0.maj")
SYSTEM UPDATE ACTIVATE fwserial=%FW_SERIAL% # The active node will reboot after
this command and the passive node will become the active one

documentation@stormshield.eu

Sns FR SMC Guide - D - Administration v2.0

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sns FR SMC Guide - D - Administration v2.0

Transféré par

Droits d'auteur :

Formats disponibles

STORMSHIELD MANAGEMENT

Date Version Détails

Table des matières

Page 2/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

5.8 Importer un certificat pour un firewall SN 26

Page 3/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

10.2.2 Modifier la date manuellement 50

Page 4/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

1.1 Se connecter à l'interface web du serveur SMC

1.2 Se connecter à l'interface de ligne de commande

l en SSH sur le port 22.

1.3 Installer la licence SMC

1.3.1 Résoudre les problèmes

Le serveur SMC refuse toute nouvelle connexion de firewall

Page 5/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

Page 6/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

2. Avertissement avant de rattacher des firewalls

l les règles de filtrage globales définies sur le firewall

l les tunnels VPN globaux définis sur le firewall

Page 7/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

3. Rattacher des firewalls SN au serveur SMC

3.1 Rattacher un firewall en configuration d'usine au serveur SMC

3.1.1 Déclarer le firewall dans l'interface web du serveur SMC

3.1.2 Générer le package de rattachement du firewall

Page 8/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

3. Dans le panneau Génération du package de rattachement, sélectionnez Ce firewall possède

Page 9/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

6. Pour assurer la sécurité de votre équipement, connectez- vous directement à l'interface

3.1.4 Installer le package de rattachement sur le firewall à partir de l'assistant

4. Pour assurer la sécurité de votre équipement, connectez- vous directement à l'interface

Page 10/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

3.2 Rattacher un firewall déjà en production au serveur SMC

3.2.1 Déclarer le firewall dans l'interface web du serveur SMC

3.2.2 Générer le package de rattachement du firewall

Page 11/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

3.2.3 Installer le package de rattachement sur le firewall

3.3 Rattacher un cluster haute disponibilité au serveur SMC

3.3.1 Déclarer le cluster dans l'interface web du serveur SMC

Page 12/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

3.3.2 Générer le package de rattachement du cluster

3.3.3 Installer le package de rattachement sur le nœud actif du cluster

Page 13/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

3.4 Consulter les traces du serveur en cas de problème

3.4.1 Génération du package de rattachement d'un firewall

3.4.2 Installation du package de rattachement sur le firewall SN

3.5 Importer des firewalls SN depuis un fichier CSV

3.5.1 Créer le fichier CSV

l #fwversion : la version du firewall utilisée pour déterminer la version du package de

Page 14/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

l #fwdesc : la description du firewall.

3.5.2 Importer les firewalls

Page 15/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

Vous avez également la possibilité :

Page 16/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

4. Superviser les firewalls SN

4.1 Superviser et classer les firewalls

4.1.1 Obtenir des informations sur les firewalls

l : le firewall a été déconnecté

Résoudre les problèmes

d'un firewall est vide.

ou bien mettez à jour le firewall en version 2.5 ou supérieure.

Page 17/60 sns-fr-SMC-guide_d_administration-v2.0 - Copyright © Stormshield 2020

4.1.2 Classer les firewalls par dossiers